研究發現十個竊取開發者數據的惡意 PyPI 包
Check Point 研究人員在 Python 包索引 (PyPI) 上發現了十個惡意包。這些軟件包安裝了信息竊取程序,允許攻擊者竊取開發人員的私人數據和個人憑據。研究人員提供了有關惡意軟件包的詳細信息:
Ascii2text 在名稱和描述上模仿了流行的 art 軟件包。可以在沒有發布部分的情況下復制整個項目描述,從而防止用戶意識到這是一個假包。惡意部分在包 init.py 文件中,由setup.py安裝腳本導入。init.py 文件中的代碼負責下載和執行惡意腳本,該腳本搜索本地密碼并使用 discordweb hook 上傳。
Pyg-utils、Pymocks 和 PyProto2,允許攻擊者竊取用戶的 AWS 憑證。Pyg-utils 連接到同一惡意域 (pygrata.com),Pymocks 和 PyProto2 有幾乎相同的代碼針對不同的域 ——pymocks.com。
Test-async 在其描述中被描述為 “非常酷的測試包,非常有用,每個人都 100% 需要”。在其 setup.py 安裝腳本中,它從 Web 下載并執行可能是惡意的代碼。在下載該代碼段之前,它會通知 Discord channel “new run” 已開始。
Free-net-vpn 和 Free-net-vpn2是針對環境變量的惡意軟件包。在它的 setup.py 安裝腳本上有一個干凈的、有記錄的代碼來獲取用戶的憑據。然后將這些機密發布到一個由動態 DNS 映射服務映射的網站上。
Zlibsrc模仿 zlib 項目,包含一個從外部源下載和運行惡意文件的腳本。
Browserdiv 是一個惡意程序包,其目的是通過收集安裝程序憑據并將其發送到預定義的 discord webhook 來竊取安裝程序憑據。雖然根據它的命名,它似乎是針對網頁設計相關的程序(bowser,div),但根據其描述,該軟件包的動機是為了在 discord 內使用 selfbots。
WINRPCexploit雖然根據其描述,它是一個 "利用 windows RPC 漏洞的軟件包",但其實是一個憑據竊取程序包。在執行時,該包會將服務器的環境變量(通常包含憑據)上傳到攻擊者控制的遠程站點。
盡管 CheckPoint 報告了發現的軟件包并從 PyPI 中刪除,但在其系統中下載這些軟件包的軟件開發者仍然可能面臨風險。
Bleepingcomputer 指出,在許多情況下,惡意程序包為可能的供應鏈攻擊奠定了基礎,因此開發人員的計算機可能只是廣泛感染的起始點,并且應該對代碼進行惡意代碼審計。重要的是要記住,PyPI 中的任何包都沒有安全保證,用戶有責任仔細檢查名稱、發布歷史、提交詳細信息、主頁鏈接和下載數量。所有這些元素共同有助于確定 Python 包是否值得信賴或是否具有潛在惡意。
