查看原文
其他

PyPI 仓库被曝多个 typosquatting 库,可触发供应链攻击

Ravie Lakshmanan 代码卫士 2022-05-23

 聚焦源代码安全,网罗国内外最新资讯!

编译:奇安信代码卫士

八款下载量超过8万次的 Python 程序包因包含恶意代码而被 PyPI 门户删除,再次说明了软件包仓库如何成为供应链攻击的流行目标。

上周四,JFrog 公司的研究员 Andrey Polkovnichenko、Omer Kaspi 和 Shachar Menashe 指出,“公共软件仓库中缺少审核和自动化安全控制,使得即使是经验不足的攻击者也能够借它传播恶意软件,或者通过 typosquatting (通过输入错误触发攻击,如误植域名等)、依赖混淆或简单的社工攻击传播恶意软件。“

PyPI 是Python 的官方第三方软件仓库,包管理器如pip 将其作为软件包及其依赖关系的默认来源。

这些恶意Python 程序包被指使用 Base64 编码进行混淆,它们是:

  • pytagora(由eonora123上传)

  • pytagora2(由eonora123上传)

  • noblesse(由xin1111上传)

  • genesisbot(由xin1111上传)

  • are(由xin1111上传)

  • suffer(由suffer上传)

  • noblesse2(由suffer上传)

  • noblessev2(由suffer上传)

这些程序包可被滥用于成为更复杂威胁的入口点,使得攻击者能够在目标机器上执行远程代码、收集系统信息、窃取信用卡信息和自动存储在 Chrome 和Edge 浏览器中的密码,甚至窃取 Discord 认证令牌假冒受害者。

PyPI 并非演变为潜在攻击面的唯一软件包仓库,npm 和 RubyGems 中也曾被发现存在恶意程序包,它们可能破坏整个系统或称为进入受害者网络的有价值跳转点。

上个月,Sonatype 和 Vdoo 公司披露了 PyPI 中的 typosquatting程序包,它们下载并执行 pyload shell 脚本,检索第三方密币挖掘器如 T-Rex、ubqminer或 PhoenixMiner,在受害者系统上挖掘以太坊和 Ubiq 密币。

JFrog 公司的首席技术官 Asaf Karas 流行仓库认为,如 PyPI 中不断出现恶意软件包的趋势警醒我们,它们可能导致广泛的供应链攻击。攻击者使用简单的混淆技术就引入恶意软件的情况说明,开发人员必须时刻保持警惕。这是一种系统性威胁,需要在多个层面解决,软件程序包的维护人员和开发人员都涵盖在内。开发人员可采取预防措施如验证库签名等。







推荐阅读
Python 官方软件库 PyPI 遭垃圾软件包洪水攻击
为增强软件供应链安全,NIST 发布《开发者软件验证最低标准指南》
CloudFlare CDNJS 漏洞差点造成大规模的供应链攻击
详细分析PHP源代码后门事件及其供应链安全启示




原文链接

https://thehackernews.com/2021/07/several-malicious-typosquatted-python.html


题图:Pixabay License



本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。


奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~



您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存