Python 开发人员提醒：PyPI 木马包假冒流行库发动攻击

研究人员提到，42款恶意PyPI 包伪装成合法模块如HTTP、AIOHTTP、请求、urllib和urllib3的typosquatted 变体，它们的名称是：aio5、aio6、htps1、httiop、httops、httplat、httpscolor、httpsing、httpslib、httpsos、httpsp、httpssp、httpssus、httpsus、httpxgetter、httpxmodifier、httpxrequester、httpxrequesterv2、httpxv2、httpxv3、libhttps、piphttps、pohttp、requestsd、requestse、requestst、ulrlib3、urelib3、urklib3、urlkib3、urllb、urllib33、urolib3和xhttpsp。

ReversingLabs 的研究员Lucija Valentić指出，“这些包的描述大多不会提到恶意意图。某些包伪装成真实库并对比它们和已知、合法HTTP库之间的对比。”但实际上它们利用下载器作为管道，向受感染主机或信息窃取工具传播第二阶段的恶意软件，窃取敏感数据如密码和令牌。

Fortinet 公司也在本周早些时候披露了PyPI 上的恶意HTTP包，提到这些恶意包推出木马下载器，其中包括打包了多种函数的DLL 文件 (Rdudkye.dll)。

这41个恶意PyPI 包是恶意人员投毒开源库如GitHub、npm、PyPI 和Rubygems，将恶意软件传播到开发者系统并发动供应链攻击的最新例证。

一天前，Checkmarx 公司提到开源npm 注册表中的垃圾包激增，它们的目的就是将受害者重定向到钓鱼链接。

Valentić 指出，“和其它供应链攻击一样，恶意人员正在利用 typosquatting 制造混淆，并利用不谨慎的开发人员不慎使用名称类似的恶意包。”

原文链接：

https://thehackernews.com/2023/02/attackers-flood-npm-repository-with.html

题图：Pixabay License

转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~