为阻止恶意软件活动蔓延,PyPI暂停新用户注册

FreeBuf 2024-03-29 20:53:41

近日,Python 软件包索引(PyPI)突然暂停了用户注册和新项目创建,以阻止正在进行的恶意软件活动。

众所周知,PyPI 上有成千上万的软件包,能够帮助开发人员查找和安装 Python 软件包,威胁攻击者对其早已”垂涎许久“,这些人经常上传虚假或伪造的软件包,以损害软件开发人员的利益,以便进行供应链攻击。

这些举动迫使 PyPI 管理员近日宣布暂停所有新用户注册,以减少恶意活动。

PyPI 平台状态(Bleeping Computer)

恶意软件活动

Checkmarx 方面表示,威胁攻击者近期开始向 PyPI 上传了 365 个软件包,这些软件包的名称模仿合法项目。软件包中的 "setup.py "文件里包含了恶意代码,一旦受害者安装执行,威胁攻击者就会试图从远程服务器获取额外的有效载荷。

值得一提的是。为了逃避检测,使用 Fernet 模块对恶意代码进行加密,并在需要时动态构建远程资源的 URL。此外,有效载荷是一个具有持久能力的信息窃取程序,目标是存储在网络浏览器中的数据,如登录密码、cookie 和加密货币扩展。

信息窃取程序有效载荷(Checkmarx)

Checkmarx 提供了研究人员发现的恶意信息的完整列表,所有信息都有相同的版本号,包含相同的恶意代码,名称似乎也是通过随机化生成,包含许多合法软件包的大量 typosquatting 变体。根据 Check Point 的报告,恶意程序包的清单超过 500 个,且是分两个阶段部署的,每个软件包都来自具有不同名称和电子邮件的账户。

Check Point 进一步解释称,每个维护者账户只上传了一个软件包,表明威胁攻击者在策划攻击时使用了自动化手段。

Python 软件包索引(PyPI)资源库多次出现安全问题

2024 年 2 月,多家媒体披露,Python 软件包索引(PyPI)资源库中一个“休眠已久”的软件包 django-log-tracker 在两年后突然再次更新了,研究人员发现,威胁攻击者利用其传播名为 Nova Sentinel 的信息窃取恶意软件。

研究人员指出,Django-log-tracker 自上线以来已经被其它用户下载了 3866 次,但链接的 GitHub 存储库自 2022 年 4 月 10 日以来没有更新过一次,本次恶意更新表明该库开发者的 PyPI 账户很可能已经被威胁攻击者入侵了。

Phylum 安全研究人员强调,此次 PyPI 软件包传播恶意软件案例有趣之处在于,攻击向量似乎是通过一个受损的 PyPI 账户进行了一次供应链攻击,如果该软件包这是一个非常“流行”的包,那么任何将此包列为依赖项的项目,如果在其依赖项文件中没有指定版本或指定灵活版本,都会获取此包的最新恶意版本。

参考文章:

https://www.bleepingcomputer.com/news/security/pypi-suspends-new-user-registration-to-block-malware-campaign/

https://thehackernews.com/2024/02/dormant-pypi-package-compromised-to.html

1 阅读:14

FreeBuf

简介:国内头部网络安全媒体。