恶意软件上传攻击攻击 PyPI 存储库

代码安全公司 GitGuardian 警告称，对 PyPI 包中的 Python 代码进行分析后发现，存在数千个硬编码凭证。

GitGuardian 与安全研究员 Tom Forbes 合作，在近 3,000 个 PyPI 包中发现了近4,000 个独特的秘密，并表示其中 760 多个秘密被发现是有效的。

总体而言，研究人员确定了 151 种不同类型的秘密，包括 AWS、Azure AD、GitHub、Dropbox 和 Auth0 密钥、MongoDB、MySQL 和 PostgreSQL 凭证，以及 SSH、Coinbase 和 Twilio Master 凭证。

有效凭证对组织构成严重而直接的威胁，因为威胁行为者仍然可以利用它们，并且验证泄露的秘密在事件调查中变得至关重要。

据 GitGuardian 称，虽然他们能够验证不到 800 个凭据，但这并不意味着其他泄露的凭据无效。

“只有正确轮换秘密后，您才能知道它是否无效。 GitGuardian 仍在致力于自动验证某些类型的秘密，包括 Hashicorp Vault 令牌、Splunk 身份验证令牌、Kubernetes 集群凭证和 Okta 令牌。”该公司指出。

该安全公司还指出，随着时间的推移，PyPI 包中泄露的秘密数量不断增加，并且新的有效凭证的包含量也在稳步增加。仅在过去的一年里，PyPI 中就添加了 1,000 多个秘密。

同样令人担忧的是，任何泄露的秘密通常都会包含在多个版本中，这大大增加了发生的次数。

“从这些数字来看，PyPI 网站发布了超过 450,000 个项目，包含超过 940 万个文件。这些软件包已经发布了超过 500 万个版本。如果我们将所有版本中共享的所有秘密加起来，我们会发现 56,866 次出现秘密。”研究人员指出。

大多数泄露的秘密都在.py文件中被识别，但配置/文档文件（例如.json和.yml）以及“自述”文件也被发现用于存储凭据。研究人员还在测试文件夹内的各种文件中发现了数百个秘密。

GitGuardian 指出，PyPI 中秘密泄露的主要原因是意外泄露。与公开整个包相比，意外发布的文件是一个更常见的问题，并且通常会快速推送新版本以删除这些文件。

为了防止泄露机密，建议 Python 开发人员避免在包中使用未加密的凭据，并在发布之前始终扫描代码中的机密，确保它们永远不会离开本地计算机。

“暴露开源包中的秘密会给开发者和用户带来巨大的风险。攻击者可以利用这些信息来获得未经授权的访问、冒充软件包维护者或通过社会工程策略操纵用户。”GitGuardian 指出。

Python 包索引 (PyPI) 存储库的维护者周四被迫暂停新项目创建和新用户注册，以缓解令人担忧的恶意软件上传活动。

PyPI事件得到确认并得到解决之际，Checkmarx 的安全研究人员警告称，多个恶意 Python 包正在通过拼写错误抢注技术推送。

“这是一次多阶段攻击，恶意负载旨在窃取加密钱包、浏览器中的敏感数据（cookie、扩展数据等）以及各种凭证。此外，恶意有效负载采用了持久性机制，可以在重新启动后幸存下来。”Checkmarx 在一份研究报告中表示。

本周早些时候，该公司表示，它发现多个恶意 Python 包被上传到 Python 包索引 (PyPI) 上，并指出这些包很可能是使用自动化工具创建的。 

“恶意代码位于每个包的 setup.py 文件中，可以在安装时自动执行，”Checkmarx 解释道。 “执行后，setup.py 文件中的恶意代码尝试从远程服务器检索额外的有效负载。有效负载的 URL 是通过附加包名称作为查询参数来动态构建的。”

最终结果是一个信息窃取程序，旨在从受害者的计算机中获取敏感信息，并提供持久性机制，以确保即使在初始执行后，它在受感染的系统上仍然保持活动状态。 

“在 PyPI 上发现这些恶意 Python 包凸显了软件开发生态系统中网络安全威胁的持续性。该事件并不是一个孤立的案例，针对软件包存储库和软件供应链的类似攻击可能会继续发生，”该公司警告说。

原文始发于微信公众号（河南等级保护测评）：恶意软件上传攻击攻击 PyPI 存储库