聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士
八款下载量超过8万次的 Python 程序包因包含恶意代码而被 PyPI 门户删除,再次说明了软件包仓库如何成为供应链攻击的流行目标。
上周四,JFrog 公司的研究员 Andrey Polkovnichenko、Omer Kaspi 和 Shachar Menashe 指出,“公共软件仓库中缺少审核和自动化安全控制,使得即使是经验不足的攻击者也能够借它传播恶意软件,或者通过 typosquatting (通过输入错误触发攻击,如误植域名等)、依赖混淆或简单的社工攻击传播恶意软件。“
PyPI 是Python 的官方第三方软件仓库,包管理器如pip 将其作为软件包及其依赖关系的默认来源。
这些恶意Python 程序包被指使用 Base64 编码进行混淆,它们是:
pytagora(由eonora123上传)
pytagora2(由eonora123上传)
noblesse(由xin1111上传)
genesisbot(由xin1111上传)
are(由xin1111上传)
suffer(由suffer上传)
noblesse2(由suffer上传)
noblessev2(由suffer上传)
这些程序包可被滥用于成为更复杂威胁的入口点,使得攻击者能够在目标机器上执行远程代码、收集系统信息、窃取信用卡信息和自动存储在 Chrome 和Edge 浏览器中的密码,甚至窃取 Discord 认证令牌假冒受害者。
PyPI 并非演变为潜在攻击面的唯一软件包仓库,npm 和 RubyGems 中也曾被发现存在恶意程序包,它们可能破坏整个系统或称为进入受害者网络的有价值跳转点。
上个月,Sonatype 和 Vdoo 公司披露了 PyPI 中的 typosquatting程序包,它们下载并执行 pyload shell 脚本,检索第三方密币挖掘器如 T-Rex、ubqminer或 PhoenixMiner,在受害者系统上挖掘以太坊和 Ubiq 密币。
JFrog 公司的首席技术官 Asaf Karas 流行仓库认为,如 PyPI 中不断出现恶意软件包的趋势警醒我们,它们可能导致广泛的供应链攻击。攻击者使用简单的混淆技术就引入恶意软件的情况说明,开发人员必须时刻保持警惕。这是一种系统性威胁,需要在多个层面解决,软件程序包的维护人员和开发人员都涵盖在内。开发人员可采取预防措施如验证库签名等。
推荐阅读
为增强软件供应链安全,NIST 发布《开发者软件验证最低标准指南》
CloudFlare CDNJS 漏洞差点造成大规模的供应链攻击
原文链接
https://thehackernews.com/2021/07/several-malicious-typosquatted-python.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
135
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
