在 PyPI 存儲庫中發現 10 個憑據竊取 Python 庫

在另一個惡意程序包潛入公共代碼存儲庫的實例中，10 個模塊已從 Python 程序包索引 (PyPI) 中刪除，因為它們能夠收集密碼和 Api 令牌等關鍵數據點。

以色列網絡安全公司 Check Point在周一的一份報告中表示，這些軟件包“安裝了信息竊取程序，使攻擊者能夠竊取開發人員的私人數據和個人憑據”。

違規軟件包的簡短摘要如下 -

• Ascii2text，它會下載一個惡意腳本，該腳本收集存儲在 Google Chrome、Microsoft Edge、Brave、Opera 和 Yandex 瀏覽器等網絡瀏覽器中的密碼
• Pyg-utils、Pymocks 和 PyProto2，旨在竊取用戶的 AWS 憑證
• Test-async 和 Zlibsrc，在安裝過程中下載并執行惡意代碼
• Free-net-vpn、Free-net-vpn2 和 WINRPCexploit竊取用戶憑據和環境變量，以及
• Browserdiv，能夠收集保存在 Web 瀏覽器的本地存儲文件夾中的憑據和其他信息

該披露是最近迅速膨脹的案例列表中的最新案例，其中威脅行為者在 PyPI 和節點包管理器 (NPM) 等廣泛使用的軟件存儲庫上發布了流氓軟件，目的是破壞軟件供應鏈。

惡意 NPM 包竊取 Discord 令牌和銀行卡數據

如果有的話，此類事件帶來的高風險增加了在從公共存儲庫下載第三方和開源軟件之前進行審查和盡職調查的必要性。

就在上個月，卡巴斯基在 NPM 包注冊表中披露了四個庫，即 small-sm、pern-valids、lifeculer 和 proc-title，其中包含高度混淆的惡意 Python 和 JavaScript 代碼，旨在竊取 Discord 令牌和鏈接的信用卡信息。

這場名為LofyLife的活動證明了此類服務如何被證明是一種有利可圖的攻擊媒介，讓攻擊者通過將惡意軟件偽裝成看似有用的庫來接觸大量下游用戶。

“供應鏈攻擊旨在利用組織與外部各方之間的信任關系，”研究人員說。“這些關系可能包括合作伙伴關系、供應商關系或第三方軟件的使用。”

“網絡威脅行為者將危害一個組織，然后向供應鏈上游移動，利用這些受信任的關系來訪問其他組織的環境。”