下载次数超30,000!PyPI存储库再次发现8个存在恶意代码的Python包
在如今的敏捷开发过程中,第三方代码库已经成为每个企业及开发人员不可或缺的一部分。但这也意味着,在引入第三方代码的过程中,很可能无意间将存在安全漏洞的代码直接置入开发产品当中,这在无形之中增加了软件使用者的安全风险。
目前,多达8个下载次数超过30,000次的Python包已从PyPI门户中删除,因为它们包含恶意代码,这再次突出了软件包存储库如何演变为供应链攻击的流行目标。
PyPI是Python包索引的缩写,是Python的官方第三方软件存储库,像pip这样的包管理工具依赖它作为包及其依赖项的默认源。
安全研究人员称,在公共软件存储库中缺乏规范和自动化的安全控制,因此,即便是没有经验的攻击者,也会利用平台传播恶意软件,无论是通过问题代码、依赖混淆还是简单的社会工程攻击。
下面列出了有问题的Python包,这些包被发现使用Base64 编码进行了混淆:
pytagora(由 leonora123 上传)
pytagora2(由 leonora123 上传)
贵族 (由 xin1111 上传)
创世机器人(由 xin1111 上传)
Are(由 xin1111 上传)
suffer(由suffer上传)
贵族2(由suffe上传)
noblessev2(由suffe上传)
上述软件包可能被滥用,成为更复杂的威胁的入口点,使攻击者能够在目标机器上执行远程代码,收集系统信息,抢劫信用卡信息和自动保存在Chrome和Edge浏览器的密码,甚至窃取身份认证令牌来冒充受害者。
在软件包库中,PyPI并不是唯一一个成为入侵者潜在攻击面的软件包,npm和RubyGems中发现的恶意软件包具有可能破坏整个系统的能力,或者作为深入挖掘受害者网络的有价值的起点。
上个月,Sonatype和Vdoo公开了PyPi中出现的输入错误包,这些包可以下载并执行一个有效载荷shell脚本,该脚本又可以检索第三方加密器,如T-Rex、ubqminer或PhoenixMiner,用于在受害系统上挖掘以太坊和Ubiq。
在像PyPI这样的流行软件库中不断发现恶意软件包,这是一个令人担忧的趋势,可能导致广泛的供应链攻击。攻击者能够利用简单的混淆技术来引入恶意软件,这意味着开发人员必须时刻关注代码安全并保持警惕。这是一个系统性的威胁,需要引起软件存储库的维护人员和开发人员等多个方面的积极解决及重视。
对于开发人员来说,诸如验证库签名和使用自动应用程序安全工具如静态代码安全检测工具、SCA等扫描项目中可疑代码,及时检测并修复代码缺陷及安全漏洞,应该是任何CI/CD管道的重要组成部分。当发现恶意代码时,诸如此类的自动化工具可以发出警报,以快速定位及修正缺陷。
参读链接:
https://www.woocoom.com/b021.html?id=f10a8255276c481dbff7d003b2f97cd6
https://thehackernews.com/2021/07/several-malicious-typosquatted-python.html