在PyPI存储库中发现含恶意代码的Python库

多达 8 个下载次数超过 30,000 次的 Python 包已从 PyPI 门户中删除，因为它们包含恶意代码，再次突出了软件包存储库如何演变为供应链攻击的流行目标。

JFrog 研究人员 Andrey Polkovnichenko、Omer Kaspi 和 Shachar “在公共软件存储库中缺乏节制和自动化安全控制，即使是没有经验的攻击者也可以将它们用作传播恶意软件的平台，无论是通过域名抢注、依赖混淆还是简单的社会工程攻击梅纳什星期四说。

PyPI 是 Python Package Index 的缩写，是 Python 的官方第三方软件存储库，诸如pip 之类的包管理器实用程序依赖它作为包及其依赖项的默认源。

下面列出了有问题的 Python 包，这些包被发现使用 Base64 编码进行了混淆——

pytagora (由 leonora123上传)pytagora2 (由 leonora123上传)noblesse (由 xin1111上传)genesisbot (由 xin1111上传)are (由 xin1111上传)suffer (由 suffer上传)noblesse2 (由 suffer上传)noblessev2 (由 suffer上传)

上述包可能被滥用成为更复杂威胁的入口点，使攻击者能够在目标机器上执行远程代码、收集系统信息、掠夺 Chrome 和 Edge 浏览器中自动保存的信用卡信息和密码，甚至窃取Discord 身份验证令牌以冒充受害者。

在已经成为入侵者潜在攻击面的软件包存储库中，PyPI 并不是唯一的，在npm和RubyGems 中发现的恶意软件包配备了可能破坏整个系统或作为深入挖掘的有价值的起点受害者的网络。

上个月，Sonatype和Vdoo披露了 PyPi 中的盗用包，这些包被发现下载并执行有效载荷 shell 脚本，该脚本反过来检索第三方加密矿工，如 T-Rex、ubqminer 或 PhoenixMiner，用于在受害者身上挖掘以太坊和 Ubiq系统。

“在 PyPI 等流行存储库中不断发现恶意软件包是一个令人担忧的趋势，可能导致广泛的供应链攻击，”JFrog 首席技术官 Asaf Karas 说。“攻击者能够使用简单的混淆技术来引入恶意软件，这意味着开发人员必须关注并保持警惕。这是一种系统性威胁，需要由软件存储库的维护人员和开发人员在多个层面积极解决.”

“在开发人员方面，诸如库签名验证和使用自动应用程序安全工具扫描项目中包含的可疑代码提示等预防措施应该是任何 CI/CD 管道的组成部分。自动化工具，例如这些可以在使用恶意代码范例时发出警报，”卡拉斯补充道。

原文来自: thehackernews.com