[[415263]]

近日，Python的官方第三方軟件存儲(chǔ)庫(kù)PyPI中發(fā)現(xiàn)了新的惡意庫(kù)——能夠在受感染設(shè)備上提取信用卡號(hào)和開(kāi)啟后門。

對(duì)此，8個(gè)下載次數(shù)超過(guò)3萬(wàn)次的Python軟件包因含有惡意代碼而從PyPI門戶網(wǎng)站上被刪除。

根據(jù)分析發(fā)現(xiàn)，一個(gè)名為noblesse的軟件包和五個(gè)變體會(huì)在Windows系統(tǒng)上搜尋不一致的身份驗(yàn)證令牌和瀏覽器存儲(chǔ)的信用卡號(hào)，并將它們轉(zhuǎn)移到遠(yuǎn)程系統(tǒng)，而另一個(gè)名為pytagora的變體將執(zhí)行遠(yuǎn)程系統(tǒng)提供的任意Python代碼。據(jù)悉，這些惡意軟件包都使用了簡(jiǎn)單的混淆技術(shù)。

nobleesse2惡意軟件的主代碼

此次事件再次凸顯了軟件包庫(kù)如何演變?yōu)楣?yīng)鏈攻擊的熱門目標(biāo)。

無(wú)獨(dú)有偶，根據(jù)最新消息，PyPI團(tuán)隊(duì)又修補(bǔ)了平臺(tái)中的一個(gè)遠(yuǎn)程代碼執(zhí)行漏洞，該漏洞有可能被用來(lái)劫持整個(gè)Python庫(kù)。

漏洞由信息安全研究員RyotaK上報(bào)，事實(shí)上，RyotaK總共發(fā)現(xiàn)了三個(gè)bug：

• PyPI上的舊文檔刪除漏洞：允許攻擊者刪除不受其控制的項(xiàng)目的文檔
• PyPI上的角色刪除漏洞：允許攻擊者刪除不受其控制的項(xiàng)目角色
• PyPI的GitHub Actions工作流程中的漏洞：攻擊者可能會(huì)獲得對(duì)該pypa/warehouse存儲(chǔ)庫(kù)的寫(xiě)入權(quán)限 ，導(dǎo)致在pypi.org上執(zhí)行任意代碼

其中，圍繞 PyPI 源存儲(chǔ)庫(kù)的GitHub Actions 工作流程的漏洞最為嚴(yán)重，可以使用 GitHub Actions將具有寫(xiě)入權(quán)限的令牌泄漏到pypa/warehouse，并且可能被用來(lái)更改更多包含惡意內(nèi)容的任意代碼。目前，PyPI 維護(hù)者已經(jīng)發(fā)布了針對(duì)該漏洞的修復(fù)程序。

隨著npm、PyPI 和 RubyGems等流行存儲(chǔ)庫(kù)成為攻擊的目標(biāo)，一些開(kāi)發(fā)人員依舊完全地信任存儲(chǔ)庫(kù)并從這些來(lái)源安裝軟件包。但是正如我們?cè)谥暗腜yPI 研究中所看到的，公共軟件存儲(chǔ)庫(kù)中缺乏自動(dòng)化安全控制，即使是沒(méi)有經(jīng)驗(yàn)的攻擊者也可以將它們作為傳播惡意軟件的平臺(tái)，無(wú)論是通過(guò)域名搶注、依賴混淆還是簡(jiǎn)單的社會(huì)工程攻擊，都屢試不爽。

警惕供應(yīng)鏈安全，依舊需要開(kāi)發(fā)者的時(shí)刻警惕和項(xiàng)目運(yùn)營(yíng)者的長(zhǎng)期努力。