PyPI 中發現新惡意 Python 庫
Check Point的安全研究人員在Python軟件包索引(PyPI)上發現了10個惡意軟件包,這是Python開發人員使用的主要Python軟件包索引。
第一個惡意軟件包是Ascii2text,這是一個通過名稱和描述模仿流行藝術包的惡意包。在Check Point的公告中稱攻擊者為了防止用戶意識到這是個惡意假包,因此復制了整個項目描述,而非過去常見的部分復制描述。一旦下載了Ascii2text,其將會通過下載一個腳本,收集存儲在谷歌瀏覽器、微軟Edge、Brave、Opera和Yandex瀏覽器等網絡瀏覽器中的密碼。
Check Point在其公告中還提到了Pyg-utils、Pymocks和PyProto2這三個獨立的軟件包,其共同目標是竊取用戶的AWS憑證。
Test-async和Zlibsrc庫也出現在報告中。據Check Point稱,這兩個包在安裝過程中會下載并執行潛在的惡意代碼。
Check Point還提到了另外三組惡意軟件包。Free-net-vpn、Free-net-vpn2和WINRPCexploit,它們都能夠竊取用戶憑證和環境變量。
最后,Check Point的公告提到了Browserdiv,這是一個惡意軟件包,其目的是通過收集和發送證書到預定義的Discord網絡鉤子來竊取安裝者的證書。Check Point在公告中寫道雖然根據其命名組成,Browserdiv似乎是針對網頁設計相關的編程(瀏覽器,div),但根據其描述,該包的動機是為了在Discord內部使用自我機器人。
據Check Point的公告稱,一旦安全研究人員發現這些惡意用戶和軟件包,他們就通過PyPI的官方網站發出警報,在Check Point披露了這些惡意軟件包之后,PyPI很快就刪除了這些軟件包。
不幸的是,這不是第一次在PyPI倉庫上發現惡意的開源包了。2021年11月,JFrog安全研究團隊透露,它從PyPI發現了11個新的惡意軟件包,下載量超過40,000。為了減少惡意軟件包在PyPI上的出現,PyPI資源庫的團隊在7月開始對被歸類為 “關鍵 “的項目執行雙因素認證(2FA)政策。
