PyPI是一个开源包的存储库,软件开发人员使用它来挑选基于Python的项目的构建块或与社区分享他们的工作。PyPI存储库中可用的多个恶意Python程序包被发现窃取AWS凭证等敏感信息,并将其传输到任何人都可以访问的公开暴露的端点。虽然PyPI通常可以快速响应平台上的恶意包报告,但在提交之前没有真正的审查,因此危险包可能会潜伏一段时间。
像Sonatype这样的软件供应链安全公司使用专门的自动恶意软件检测工具来发现它们,在这种情况下,他们将以下软件包识别为恶意软件:
-
loglib-modules
-
pyg-modules
-
pygrata
-
pygrata-utils
-
hkg-sol-utils
虽然前两个包试图模仿PyPI上的合法和流行项目,以诱骗粗心或没有经验的用户安装它们,而其他三个包没有明显的目标,但所有五个功能代码都有相似之处或联系。
暴露被盗数据
安全分析师认为,“loglib-modules”和“pygrata-utils”包是为数据泄露、获取AWS凭证、网络接口信息和环境变量而创建的。
有趣的是,“pygrata”本身不包含数据窃取功能,但需要“pygrata-utils”作为依赖项。这就是为什么,尽管已经报告了四个恶意程序包并立即从PyPI中删除,但“pygrata”仍然存在更长时间,尽管它自己不能做太多事情。被盗数据存储在TXT 文件中并上传到PyGrata[.]com域。但是,端点没有得到适当的保护,因此分析师可以窥探威胁者窃取的内容。
出于道德和假设他们可能遗漏了什么,两位分析师联系了域名所有者,告知他们公开曝光并要求解释。不久之后,在Sonatype没有收到任何答复的情况下,该端点就被禁止公开访问。这可能意味着这些包的用途和数据托管域是不合法的。即使这些包被用于合法的安全测试,并且它们背后的运营商从未打算利用被盗的详细信息,它们在PyPI上的存在也可能使“非自愿参与者”面临重大风险,因为他们的凭据最终被暴露。
由于这些恶意程序包没有使用域名抢注技巧,因此它们不是随机针对输入错误字符的开发人员,而是针对为他们的项目寻找特定工具的用户。
建议软件开发人员超越软件包名称,仔细检查发布历史、上传日期、主页链接、软件包描述和下载编号,所有这些都有助于确定Python软件包是真货还是危险的假货。
![Py包被发现将被盗的AWS密钥发送到不安全的站点]( "Py包被发现将被盗的AWS密钥发送到不安全的站点")
原文始发于微信公众号(雾晓安全):Py包被发现将被盗的AWS密钥发送到不安全的站点
评论