PyPI 仓库被曝多个 typosquatting 库，可触发供应链攻击

 聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士

八款下载量超过8万次的 Python 程序包因包含恶意代码而被 PyPI 门户删除，再次说明了软件包仓库如何成为供应链攻击的流行目标。

上周四，JFrog 公司的研究员 Andrey Polkovnichenko、Omer Kaspi 和 Shachar Menashe 指出，“公共软件仓库中缺少审核和自动化安全控制，使得即使是经验不足的攻击者也能够借它传播恶意软件，或者通过 typosquatting （通过输入错误触发攻击，如误植域名等）、依赖混淆或简单的社工攻击传播恶意软件。“

PyPI 是Python 的官方第三方软件仓库，包管理器如pip 将其作为软件包及其依赖关系的默认来源。

这些恶意Python 程序包被指使用 Base64 编码进行混淆，它们是：

• pytagora（由eonora123上传）

• pytagora2（由eonora123上传）

• noblesse（由xin1111上传）

• genesisbot（由xin1111上传）

• are（由xin1111上传）

• suffer（由suffer上传）

• noblesse2（由suffer上传）

• noblessev2（由suffer上传）

这些程序包可被滥用于成为更复杂威胁的入口点，使得攻击者能够在目标机器上执行远程代码、收集系统信息、窃取信用卡信息和自动存储在 Chrome 和Edge 浏览器中的密码，甚至窃取 Discord 认证令牌假冒受害者。

PyPI 并非演变为潜在攻击面的唯一软件包仓库，npm 和 RubyGems 中也曾被发现存在恶意程序包，它们可能破坏整个系统或称为进入受害者网络的有价值跳转点。

上个月，Sonatype 和 Vdoo 公司披露了 PyPI 中的 typosquatting程序包，它们下载并执行 pyload shell 脚本，检索第三方密币挖掘器如 T-Rex、ubqminer或 PhoenixMiner，在受害者系统上挖掘以太坊和 Ubiq 密币。

JFrog 公司的首席技术官 Asaf Karas 流行仓库认为，如 PyPI 中不断出现恶意软件包的趋势警醒我们，它们可能导致广泛的供应链攻击。攻击者使用简单的混淆技术就引入恶意软件的情况说明，开发人员必须时刻保持警惕。这是一种系统性威胁，需要在多个层面解决，软件程序包的维护人员和开发人员都涵盖在内。开发人员可采取预防措施如验证库签名等。

推荐阅读

Python 官方软件库 PyPI 遭垃圾软件包洪水攻击

为增强软件供应链安全，NIST 发布《开发者软件验证最低标准指南》

CloudFlare CDNJS 漏洞差点造成大规模的供应链攻击

详细分析PHP源代码后门事件及其供应链安全启示

原文链接

https://thehackernews.com/2021/07/several-malicious-typosquatted-python.html

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~