PyPI中发现数个被恶意盗用的Python库

2021年7月30日，多达8个下载超过30000次的Python包由于包含恶意代码，已从PyPI门户中删除。又一次显示了程序包存储库是怎么演变成供应链攻击的流行目标。

“公共软件存储库里缺乏适度的自动化安全控制，就算是新手攻击者也可以将它们用作传播恶意代码的平台，无论是通过域名抢注、依赖混淆还是简单的社会工程学的攻击，“JFfrog 研究员Andrey Polkovnichenko，Omer Kaspi，和Shachar Menashe在周四如是说。

PyPI是Python Package Index的缩写，是Python官方的第三方软件存储库，像pip这样的程序包辅助管理器便是依靠PyPI作为程序包默认源和依据。

下列是有问题的Python包，这些包被发现使用了Base64代码进行混淆：

pytagora (uploaded by leonora123)

pytagora2 (uploaded by leonora123)

noblesse (uploaded by xin1111)

genesisbot (uploaded by xin1111)

are (uploaded by xin1111)

suffer (uploaded by suffer)

noblesse2 (uploaded by suffer)

noblessev2 (uploaded by suffer)

前述的包可能会被滥用成为更加复杂的威胁的切入点，是攻击者可以在目标机器上执行远程代码、收集系统信息、抢夺Chrome和Edge浏览器中自动保存的信用卡信息和密码，甚至能窃取Discord身份验证令牌以冒充受害者。

在已成为攻击者的潜在攻击面的软件包存储库中，PyPI并不是唯一的。在npm和RubyGems里已被公布的恶意代码当中，这些恶意代码有潜在扰乱整个系统或服务的功能，并以此为一个起点去更深入受害者的网络。

上个月，Sonatype和Vdoo揭露了PyPI中一个被盗用的包，它会下载并执行一个payload shell脚本，反过来检索第三方cryptominer程序比如T-Rex，ubqminer，或PhoenixMiner来挖掘受害者的Ethereum和Ubiq系统。

“在像PyPI这样的人气存储库中持续不断发现恶意软件包是一种令人忧心的趋势，它可能会导致广泛的供应链攻击，”JForg的首席技术官Asaf Karas如是说。“攻击者能够用简单的混淆技术来导入恶意软件，这意味着开发人员必须保持警惕。这是一个系统上的威胁，需要软件存储库的开发人员和维修人员在多个层面积极解决。”

“在开发人员层面来说，预防措施——比如说签名库的认证，或使用自动化的应用程序安全工具来扫描项目中包含的可疑代码踪迹，将会成为任何CI/CD管道里不可或缺的部分。诸如此类的自动工具可以在使用恶意代码范式时发出警报。”Karas 补充。

参考来源：

https://thehackernews.com/2021/07/several-malicious-typosquatted-python.html