在PyPI存储库中发现含恶意代码的Python库

  • A+
所属分类:安全新闻

更多全球网络安全资讯尽在邑安全

在PyPI存储库中发现含恶意代码的Python库

多达 8 个下载次数超过 30,000 次的 Python 包已从 PyPI 门户中删除,因为它们包含恶意代码,再次突出了软件包存储库如何演变为供应链攻击的流行目标。

JFrog 研究人员 Andrey Polkovnichenko、Omer Kaspi 和 Shachar “在公共软件存储库中缺乏节制和自动化安全控制,即使是没有经验的攻击者也可以将它们用作传播恶意软件的平台,无论是通过域名抢注、依赖混淆还是简单的社会工程攻击梅纳什星期四

PyPI 是 Python Package Index 的缩写,是 Python 的官方第三方软件存储库,诸如pip 之类的包管理器实用程序依赖它作为包及其依赖项的默认源。

下面列出了有问题的 Python 包,这些包被发现使用 Base64 编码进行了混淆——

pytagora (由 leonora123上传)pytagora2 (由 leonora123上传)noblesse (由 xin1111上传)genesisbot (由 xin1111上传)are (由 xin1111上传)suffer (由 suffer上传)noblesse2 (由 suffer上传)noblessev2 (由 suffer上传)

上述包可能被滥用成为更复杂威胁的入口点,使攻击者能够在目标机器上执行远程代码、收集系统信息、掠夺 Chrome 和 Edge 浏览器中自动保存的信用卡信息和密码,甚至窃取Discord 身份验证令牌以冒充受害者。

在已经成为入侵者潜在攻击面的软件包存储库中,PyPI 并不是唯一的,在npmRubyGems 中发现的恶意软件包配备了可能破坏整个系统或作为深入挖掘的有价值的起点受害者的网络。

上个月,SonatypeVdoo披露了 PyPi 中的盗用包,这些包被发现下载并执行有效载荷 shell 脚本,该脚本反过来检索第三方加密矿工,如 T-Rex、ubqminer 或 PhoenixMiner,用于在受害者身上挖掘以太坊和 Ubiq系统。

“在 PyPI 等流行存储库中不断发现恶意软件包是一个令人担忧的趋势,可能导致广泛的供应链攻击,”JFrog 首席技术官 Asaf Karas 说。“攻击者能够使用简单的混淆技术来引入恶意软件,这意味着开发人员必须关注并保持警惕。这是一种系统性威胁,需要由软件存储库的维护人员和开发人员在多个层面积极解决.”

“在开发人员方面,诸如库签名验证和使用自动应用程序安全工具扫描项目中包含的可疑代码提示等预防措施应该是任何 CI/CD 管道的组成部分。自动化工具,例如这些可以在使用恶意代码范例时发出警报,”卡拉斯补充道。

原文来自: thehackernews.com

原文链接: https://thehackernews.com/2021/07/several-malicious-typosquatted-python.html

欢迎收藏并分享朋友圈,让五邑人网络更安全

在PyPI存储库中发现含恶意代码的Python库

欢迎扫描关注我们,及时了解最新安全动态、学习最潮流的安全姿势!


推荐文章

1

新永恒之蓝?微软SMBv3高危漏洞(CVE-2020-0796)分析复现

2

重大漏洞预警:ubuntu最新版本存在本地提权漏洞(已有EXP) 



本文始发于微信公众号(邑安全):在PyPI存储库中发现含恶意代码的Python库

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: