[[441678]]

已發(fā)現(xiàn)托管在Python軟件包索引(PyPI)代碼庫(kù)中的三個(gè)惡意軟件包，它們共計(jì)被下載12,000次——并且可能被偷偷安裝在各種應(yīng)用程序中。

獨(dú)立研究員安德魯·斯科特(Andrew Scott)在對(duì)PyPI中包含的代碼進(jìn)行近乎全站范圍的分析時(shí)發(fā)現(xiàn)了這些包，PyPI是用Python編程語(yǔ)言創(chuàng)建的軟件代碼存儲(chǔ)庫(kù)。與GitHub、npm和RubyGems一樣，PyPI允許編碼人員上傳軟件包，供開(kāi)發(fā)人員用于構(gòu)建各種應(yīng)用程序、服務(wù)和其他項(xiàng)目。

不幸的是，一個(gè)惡意包可以被安裝到多個(gè)不同的項(xiàng)目中——用加密礦工、信息竊程序等感染它們，并使修復(fù)成為一個(gè)復(fù)雜的過(guò)程。

在本例中，Scott發(fā)現(xiàn)了一個(gè)包含已知木馬惡意軟件和兩個(gè)信息竊取程序的惡意軟件包。

他說(shuō)，這個(gè)木馬包被稱為“aws-login0tool”，一旦安裝該軟件包，它就會(huì)獲取一個(gè)有效載荷可執(zhí)行文件，結(jié)果證明它是一個(gè)已知的木馬。

Scott在周日的一篇帖子中解釋說(shuō)：“我發(fā)現(xiàn)這個(gè)包是因?yàn)樗谖也榭磗etup.py時(shí)的多個(gè)文本搜索中被標(biāo)記，因?yàn)檫@是Python包中惡意代碼最常見(jiàn)的位置之一，在安裝時(shí)可以在那里執(zhí)行任意代碼。”“具體來(lái)說(shuō)，我是通過(guò)查找import urllib.request發(fā)現(xiàn)這一點(diǎn)的，因?yàn)樗ǔＳ糜诟`取數(shù)據(jù)或下載惡意文件，它也是由from subprocess import Popen觸發(fā)的，這有點(diǎn)可疑，因?yàn)榇蠖鄶?shù)包不需要執(zhí)行任意命令行代碼。”

Scott還通過(guò)查看import urllib.request字符串確定了另外兩個(gè)惡意軟件包，這兩個(gè)包都是為數(shù)據(jù)滲漏而構(gòu)建的。

這兩個(gè)名為“dpp-client”和“dpp-client1234I”的文件是由同一個(gè)用戶在二月份上傳的。在安裝過(guò)程中，他們收集有關(guān)環(huán)境和文件列表的詳細(xì)信息，并且似乎“專門尋找與Apache Mesos相關(guān)的文件”，Scott說(shuō)，這是一個(gè)管理計(jì)算機(jī)集群的開(kāi)源項(xiàng)目。據(jù)研究人員稱，一旦收集到信息，就會(huì)將其發(fā)送到一個(gè)未知的web服務(wù)。

Python安全團(tuán)隊(duì)在12月10日收到通知后刪除了已識(shí)別的包，但由于這些項(xiàng)目在刪除之前就被導(dǎo)入了，所有三個(gè)包都繼續(xù)存在。

Scott表示，該木馬程序包于12月1日首次添加到PyPI中，隨后被下載了近600次。至于數(shù)據(jù)竊取者，dpp-client包下載量超過(guò)10000次，其中上個(gè)月下載量600+;dpp-client1234已被下載約1,500次。并且這兩個(gè)軟件包的源代碼URL都模仿了現(xiàn)有的流行庫(kù)，“所以任何人在PyPI中瀏覽軟件包或分析庫(kù)的流行程度時(shí)，都會(huì)看到大量的GitHub星星和分支，這代表了良好的聲譽(yù)。”

軟件供應(yīng)鏈已成為一種越來(lái)越流行的惡意軟件分發(fā)方法。例如，上周在Node.js軟件包管理器(npm)代碼庫(kù)中發(fā)現(xiàn)了一系列旨在收集Discord令牌的惡意包。這些軟件包可以用來(lái)接管毫無(wú)戒心的用戶的帳戶和服務(wù)器。

本文翻譯自：https://threatpost.com/malicious-pypi-code-packages/176971/如若轉(zhuǎn)載，請(qǐng)注明原文地址。