PyPI 存在29个恶意软件包，使用W4SP窃取程序针对开发人员

网络安全研究人员在Python包索引(PyPI)中发现了29个软件包，旨在用一种名为W4SP Stealer的恶意软件感染开发人员的机器。PyPI是Python编程语言的官方第三方软件存储库。

安全公司在一份报告中称，大概从2022年10月12日左右开始进行攻击，在10月22日左右速度加快，并进行集中行动。

有问题的软件包列表如下：typesutil，typestring，sutiltype，duonet，fatnoob，strinfer，pydprotect，incrivelsim，twyne，pyptext，installpy，faq，colorwin，requests-httpx，colorsama，shaasigma，stringe，felpesviadinho，cypress，pystyte，pyslyte，pystyle，pyurllib，algorithmic，oiu，iao，curlapi，type-color和pyhints。

这些软件包总共被下载了5700多次，其中一些库(例如twyne和colorsama)依靠拼写错误来诱骗不知情的用户下载它们。

欺诈模块通过在包的“setup.py”脚本中插入恶意的导入语句来重新利用现有的合法库，从而启动一段Python代码，从远程服务器获取恶意软件的 Python 代码。

W4SP Stealer是一种基于Python的开源木马，具有窃取感兴趣的文件，密码，浏览器cookie，系统元数据，Discord令牌以及来自MetaMask，Atomic和Exodus加密钱包的数据的功能。

这不是W4SP Stealer第一次通过PyPI存储库中看似无害的包来交付。今年8月，卡巴斯基发现了两个名为pyquest和ultrarequest的库，它们被发现用于部署恶意软件作为最终有效载荷。

这些发现表明，开源生态系统继续被滥用，传播恶意软件包，旨在获取敏感信息，为供应链攻击铺平道路。

未知行为者或团体对 PyPI 的攻击只是针对软件供应链的最新威胁。通过存储库服务(如 PyPI 和节点包管理器 (npm))分发的开源软件组件是一种流行的攻击媒介，因为导入到软件中的依赖项数量急剧增长。攻击者试图利用生态系统将恶意软件分发到粗心的开发人员的系统，就像2020 年对 Ruby Gems 生态系统的攻击和对Docker Hub 映像生态系统的攻击一样。

安全专家指出:“由于这是一场持续不断的攻击，坚定的攻击者不断变化的策略，我们怀疑在不久的将来会看到更多这样的恶意软件出现。”

这种攻击利用了开发人员的错误输入通用软件包的名称或使用新软件包而没有充分审查软件的来源。一个名为“typesutil”的恶意包只是流行的Python包“datetime2”的副本，进行了一些修改。

最初，任何导入恶意软件的程序都会在 Python 加载依赖项的设置阶段运行命令来下载恶意软件。但是，由于 PyPI 实现了某些检查，攻击者开始使用空格将可疑命令推送到大多数代码编辑器的正常可见范围之外。

“攻击者稍微改变了策略，不只是将导入转储到一个明显的地方，而是被放置在屏幕外，利用Python很少使用的分号将恶意代码潜入与其他合法代码相同的行上，”安全专家表示。

“虽然域名仿冒是一种低保真攻击，只有很少的成功，但与潜在的回报相比，攻击者付出的努力成本很小。”

攻击的最终目标是安装“信息窃取木马W4SP窃取程序，它枚举受害者的系统，窃取浏览器存储的密码，针对加密货币钱包，并使用关键字搜索关键文件，如'银行'和'秘密'，”安全专家称。

“除了窃取加密货币或银行信息这种明显金钱外，攻击者还可以利用一些被盗信息通过提供对关键基础设施或其他开发人员凭据的访问权限来进一步攻击。”

研究显示，开源正以前所未有的速度产生新的漏洞，但将开源软件漏洞添加到国家漏洞数据库(NVD)所需的时间非常长，从公开披露到包含平均需要54天。在此期间将使应用软件面临被攻击的风险。因此在保证提高应用程序开发效率的基础上，利用安全自动化检测工具，如静态代码安全检测(SAST)、SCA、动态应用程序测试(DAST)等手段，减少因代码安全问题造成的风险。

文章来源：

https://thehackernews.com/2022/11/researchers-uncover-29-malicious-pypi.html