CloudGuard Spectral 在 PyPI上檢測到多個惡意包
1.CloudGuard Spectral 在 PyPI 上檢測到 10 個惡意包,pypi 是 Python Package Index 的首字母簡寫,其實表示的是 Python 的 Packag 索引,這個也是 Python 的官方索引;
2.惡意程序包安裝信息竊取程序,使攻擊者能夠竊取開發人員的私人數據和個人憑據;
3.一旦檢測到,CPR 就會披露這些信息并提醒 PyPI 這些包裹,稍后將被 PyPI 刪除;
4.CPR 敦促用戶注意這些包裹。
PyPI 是領先的 Python 存儲庫,是 Python 用戶最常用的存儲庫。每個 Python 開發者都熟悉“pip install”日常程序,以提供他們所需的python軟件。
Pypi 幫助開發人員查找和安裝由該社區其他開發人員開發和共享的軟件。該平臺目前是免費的,開發人員每天都使用該存儲庫。截止目前,Pypi有超過612240名活躍用戶,參與391325個項目,發布了3664724個版本。
許多用戶沒有意識到這樣一個事實,這一簡單的命令會使他們面臨更高的風險。pip install 命令觸發包安裝,其中可以包含一個setup.py腳本。此腳本可以包含 Python 片段,以在目標安裝程序的計算上完成所需的安裝過程。黑客利用該特性將惡意代碼作為安裝腳本的一部分,這些代碼在用戶的設備上秘密運行而不被發現。
在這種情況下,必須要做好防護,因為這類攻擊通常會獲取非常關鍵的數據點,如密碼和Api令牌。此外,此類攻擊正在增加。一個相關的例子是最近的pygrata攻擊,惡意軟件包被用來竊取AWS(亞馬遜網絡服務)密鑰和環境變量,這是供應鏈攻擊的一部分。需要注意的是,攻擊者并沒有等待,正如你將看到的,相同的攻擊者似乎已經生成了針對PyPI用戶的新活動。我們檢測到的包的詳細信息會在本文中進行詳細的描述。
Ascii2text
Ascii2text是一個惡意程序包,僅通過名稱和描述模仿流行的程序包。有趣的是,他們非常聰明地復制了除了發布部分的整個項目描述,從而防止用戶意識到這是一個假包。
假冒的ascii2text描述VS原始包描述
包惡意部分在包__init__.py文件中,由setup.py安裝腳本導入。__init__.py文件中的代碼負責下載和執行一個惡意腳本,該腳本會搜索本地密碼并使用discord web hook上傳它們。
__init__.py中的惡意代碼片段
它下載的惡意腳本
Pyg-utils、Pymocks 和 PyProto2
Pyg-utils似乎是最近Pygrata活動的產物,該活動的目的是獲取用戶的AWS證書。作為setup.py安裝的一部分,Pyg-utils會連接到相同的惡意域名(pygrata.com),該域名可能是網絡釣魚攻擊的基礎設施。有趣的是,Pymocks和PyProto2具有幾乎相同的代碼,但針對的是不同的域——pymocks.com。Pyg-utils是在15/6發布的,Pyg-utils 于6月 15日發布,Pymocks 和 PyProto 發布的時間較晚(分別為 6月 24 日和 7月4 日)。Pymocks.com域名也是在同一天( 6月 24 日)創建的。因此,假設所有這些包都是由同一個惡意的攻擊者制作的,這可能是出于 Pyg-utils 隱藏并決定復制并重新觸發他們的惡意活動這一事實的動機。
Pyg-utils惡意的setup.py文件出現在幾乎相同的pymock和PyProto2文件旁
Test-async
Test-async在其描述中被描述為“非常酷的測試包,非常有用,每個人都需要100%的測試”。在它的setup.py安裝腳本中,它從網上下載并執行可能是惡意的代碼。有趣的是,在下載該片段之前,它會通知 Discord 頻道“新運行”已開始。
測試async setup.py安裝腳本
Free-net-vpn
Free-net-vpn和Free-net-vpn2是針對環境變量的惡意包。在setup.py安裝腳本中有一個干凈的、有文檔記錄的代碼,以獲取用戶的憑證(甚至黑客也在關注代碼標準)。然后,這些秘密被發布到動態DNS映射服務映射的網站。
free-net-vpn setup.py 安裝腳本
Zlibsrc
zlibsrc 包可能試圖將合法用戶與流行的 Python 內置 zlib 包混淆。在其 setup.py 腳本中,它會在安裝過程中下載并運行惡意文件。
Zlibsrc __init__ . py腳本
Browserdiv
Browserdiv 是一個惡意程序包,其目的是通過收集安裝程序憑據并將其發送到預定義的不和諧 webhook 來竊取安裝程序憑據。有趣的是,雖然根據它的命名,它似乎針對與網頁設計相關的編程(bowser、div),但根據它的描述,該軟件包的動機是允許在 discord 中使用 selfbot。
Browserdiv setup.py安裝腳本
WINRPCexploit
一個惡意的包,竊取用戶的憑證作為其setup.py安裝腳本的一部分,有趣的是,根據其描述,它是一個“利用 windows RPC 漏洞的包”,實際上它只是竊取了安裝程序的憑據。
WINRPCexploit setup.py安裝腳本
供應鏈攻擊旨在利用組織和外部各方之間的信任關系。這些關系可能包括合作伙伴關系、供應商關系或第三方軟件的使用。攻擊者會破壞一個組織,然后向供應鏈上游擴散,利用這些可信的關系進入其他組織的環境。近年來,這樣的攻擊變得越來越頻繁,影響也越來越大,因此,開發人員必須確保他們的行動是安全的,反復檢查使用中的每一個軟件成分,尤其是從不同的存儲庫下載的軟件,特別是那些不是自己創建的。
