持續的供應鏈正攻擊針對 Python 開發人員

近日，國家信息安全漏洞庫（CNNVD）收到關于roels、req-tools和dark-magic三個Python第三方惡意庫情況的報送。這三個庫分別部署在Python官方的第三方庫下載網站（https://pypi.org）上，當用戶安裝使用上述Python第三方庫時可能被安裝惡意程序。

近日，國家信息安全漏洞庫（CNNVD）收到關于roels、req-tools和dark-magic三個Python第三方惡意庫情況的報送。這三個庫分別部署在Python官方的第三方庫下載網站（https://pypi.org）上，當用戶安裝使用上述Python第三方庫時可能被安裝惡意程序。

然而，Trellix研究證實，在大多數情況下，攻擊者可以獲得代碼執行，從而使這個Python漏洞更加嚴重。他指出，Python的問題在過去15年中呈指數級惡化。由于易受攻擊的存儲庫的數據量異常龐大，Trellix聯系了GitHub以獲得額外的訪問權限，結果發現包含超過500,000個使用tarfile包的GitHub存儲庫。TechTarget聯系微軟征求意見，但截至發稿時，這家軟件巨頭并未發表任何聲明。Trellix為供應商發布了檢測工具，目前為11,000個存儲庫提供了補丁。

一個被追蹤為 WASP 的攻擊者使用 WASP Stealer 針對 Python 開發人員，對其進行持續的供應鏈攻擊。

近日，有安全研究人員披露稱，持續的供應鏈攻擊一直利用惡意Python包分發名為W4SP Stealer的惡意軟件。截止目前，已有數百名受害者落中招。安全研究人員分析稱，此次攻擊活動與網絡犯罪有關，在披露的信息中還指出，標記了Python包索引 上發布的 30 個不同模塊，這些模塊旨在以看似良性的包為幌子傳播惡意代碼。此外，這次攻擊只是針對軟件供應鏈的最新威脅，不同的使用了隱寫術來提取隱藏在Imgur上托管圖像文件中的多個惡意軟件負載。

35萬個項目受到影響通過分析影響，Trellix 研究人員發現該漏洞存在于數千個開源和閉源軟件項目中。對其余存儲庫運行自動檢查將受影響的項目數量增加到 65%，這表明存在廣泛的問題。然而，這個小樣本集僅作為估算 GitHub 上所有受影響的存儲庫的基準。稍后，它們將通過拉取請求添加到主項目中。

網絡安全研究人員在 Python 包索引（PyPI）倉庫中識別出116個惡意軟件包，旨在通過定制后門程序感染 Windows 和 Linux 系統。

通過在開源軟件包中插入惡意代碼來迅速將惡意軟件傳播到整個軟件供應鏈中是惡意分子常用的攻擊手段。然而，最新的研究發現，如果用戶等待大約14天后再將這些軟件包更新到最新版本，就可以避免受到軟件包劫持攻擊的不良影響。

軟件供應鏈管理公司Sonatype發布的一份最新報告顯示，涉及惡意第三方組件的供應鏈攻擊數量在過去一年增加了633%，目前已知的案例超過8.8萬起。Sonatype的監測數據顯示，截至2022年8月，固定版本Log4j的采用率約為65%。截至去年年底，Sonatype追蹤了大約1.2萬起已知的惡意供應鏈攻擊事件，現在這一數字已超過8.8萬起，同比增長633%。

開源生態“投毒”攻擊是指攻擊者利用軟件供應商與最終用戶之間的信任關系，在合法軟件的開發、傳播和升級過程中進行劫持或篡改，從而達到非法目的的攻擊類型。