?聚焦源代碼安全，網羅國內外最新資訊！

編譯：奇安信代碼衛士

八款下載量超過8萬次的 Python 程序包因包含惡意代碼而被 PyPI 門戶刪除，再次說明了軟件包倉庫如何成為供應鏈攻擊的流行目標。

上周四，JFrog 公司的研究員 Andrey Polkovnichenko、Omer Kaspi 和 Shachar Menashe 指出，“公共軟件倉庫中缺少審核和自動化安全控制，使得即使是經驗不足的攻擊者也能夠借它傳播惡意軟件，或者通過 typosquatting （通過輸入錯誤觸發攻擊，如誤植域名等）、依賴混淆或簡單的社工攻擊傳播惡意軟件。“

PyPI 是Python 的官方第三方軟件倉庫，包管理器如pip 將其作為軟件包及其依賴關系的默認來源。

這些惡意Python 程序包被指使用 Base64 編碼進行混淆，它們是：

• pytagora（由eonora123上傳）

• pytagora2（由eonora123上傳）

• noblesse（由xin1111上傳）

• genesisbot（由xin1111上傳）

• are（由xin1111上傳）

• suffer（由suffer上傳）

• noblesse2（由suffer上傳）

• noblessev2（由suffer上傳）

這些程序包可被濫用于成為更復雜威脅的入口點，使得攻擊者能夠在目標機器上執行遠程代碼、收集系統信息、竊取信用卡信息和自動存儲在 Chrome 和Edge 瀏覽器中的密碼，甚至竊取 Discord 認證令牌假冒受害者。

PyPI 并非演變為潛在攻擊面的唯一軟件包倉庫，npm 和 RubyGems 中也曾被發現存在惡意程序包，它們可能破壞整個系統或稱為進入受害者網絡的有價值跳轉點。

上個月，Sonatype 和 Vdoo 公司披露了 PyPI 中的 typosquatting程序包，它們下載并執行 pyload shell 腳本，檢索第三方密幣挖掘器如 T-Rex、ubqminer或 PhoenixMiner，在受害者系統上挖掘以太坊和 Ubiq 密幣。

JFrog 公司的首席技術官 Asaf Karas 流行倉庫認為，如 PyPI 中不斷出現惡意軟件包的趨勢警醒我們，它們可能導致廣泛的供應鏈攻擊。攻擊者使用簡單的混淆技術就引入惡意軟件的情況說明，開發人員必須時刻保持警惕。這是一種系統性威脅，需要在多個層面解決，軟件程序包的維護人員和開發人員都涵蓋在內。開發人員可采取預防措施如驗證庫簽名等。

---

推薦閱讀

Python 官方軟件庫 PyPI 遭垃圾軟件包洪水攻擊

為增強軟件供應鏈安全，NIST 發布《開發者軟件驗證最低標準指南》

CloudFlare CDNJS 漏洞差點造成大規模的供應鏈攻擊

詳細分析PHP源代碼后門事件及其供應鏈安全啟示

原文鏈接

https://thehackernews.com/2021/07/several-malicious-typosquatted-python.html

題圖：Pixabay License

本文由奇安信編譯，不代表奇安信觀點。轉載請注明“轉自奇安信代碼衛士 https://codesafe.qianxin.com”。

奇安信代碼衛士 (codesafe)

國內首個專注于軟件開發安全的產品線。

? ??覺得不錯，就點個?“在看” 或 "贊” 吧~

總結

以上是生活随笔為你收集整理的PyPI 仓库被曝多个 typosquatting 库，可触发供应链攻击的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。