Sonatype 揭示了 PyPI 中的仿冒勒索軟件威脅

Sonatype 的研究人員發現了使用仿冒域名的不法分子，強調需要檢查該軟件包是否真的是您要下載的軟件包。

最新的軟件包檢測到使用“Requests”的拼寫變體，這是一個通過 PyPI 提供的非常流行的 HTTP 庫。在該項目中，描述指出：“Requests 是當今下載量最大的 Python 包之一，每周下載量約為 3000 萬次——據 GitHub 稱。Requests 目前依賴于 1,000,000 多個存儲庫。”

“你當然可以信任這段代碼，”它補充道。

當然，除非你不小心打錯了名字并得到了其他更糟糕的東西。Sonatype 給出了三個示例：requesys、requesrs和requesr，它們都包含勒索軟件腳本。

研究人員著眼于這個requesys包，發現了可以覆蓋 Windows 用戶文件夾并開始加密文件的腳本。成功的運行會導致用戶屏幕上出現一個彈出窗口，這讓事情變得有點奇怪。

受感染的用戶被指示加入作者的 Discord 服務器，其中自動生成的消息會顯示解密密鑰以解鎖文件。無需付款。

所以，好消息和壞消息。Sonatype 設法找到了負責的開發人員，他堅稱這些軟件包只是為了好玩而開發的，而且由于沒有要求或支付贖金，因此幾乎是無害的。

嗯，我們不太確定是否有人會因警告其文件已加密的消息而經歷令人心碎的時刻。

更令人擔憂的是，開發人員還告訴 Sonatype，創建漏洞利用非常容易，這依賴于最終用戶不小心敲擊鍵盤。

根據 Sonatype 的說法，作者重新命名了該requesys軟件包，“以防止更多的仿冒受害者落入勒索軟件，從而有效地阻止了攻擊。”

其他兩個示例已從 PyPI 中刪除。

該事件是一系列所謂的研究實驗中的最新一起，并提醒人們以實驗的名義進行其他不明智的行為，例如臭名昭??著的將一些不確定的代碼偷偷帶入 Linux 的企圖。

最近，即使軟件供應鏈攻擊從受害者那里獲取信息，該ctx軟件包在 PyPI 上也被一個聲稱沒有惡意意圖的人破壞。Nastier 仍然是ReversingLabs 在 7 月份發現的仿冒 NPM 攻擊。

Sonatype 告訴The Register，PyPI 組織很快就撤下了包裹，并表示已向該組織報告了調查結果。然而，這一事件再次提醒下載軟件包時要小心。拼寫錯誤很容易，結果可能是災難性的。