作者 | 云昭

8月14日，Checkmarx（一家以色列高科技軟件公司，世界上知名的代碼安全掃描軟件 Checkmarx CxSAST 的生產(chǎn)商）的研究人員發(fā)現(xiàn)，一位名為“devfather777”的網(wǎng)友發(fā)布了 12 個(gè)軟件包，這些軟件包被上傳到 PyPi 存儲(chǔ)庫(kù)，并使用與其他流行軟件包相似的名稱來(lái)誘騙軟件開發(fā)人員使用惡意版本，進(jìn)而對(duì)俄羅斯反恐精英（Counter-Strike）1.6 服務(wù)器執(zhí)行 DDoS 的仿冒攻擊。

惡意仿冒活動(dòng) 

此次排版攻擊依賴于開發(fā)人員使用錯(cuò)誤的名稱，導(dǎo)致使用了與合法軟件包相似的惡意軟件包。例如，此活動(dòng)中的一些包及其合法對(duì)應(yīng)包（括號(hào)中）是 Gesnim (Gensim)、TensorFolw (TensorFlow) 和 ipaddres (ipaddress)。

惡意軟件包仍在 PyPi 上 

上傳的惡意 PyPi 包的完整列表是：

• Gesnim
• Kears
• TensorFolw
• Seabron
• tqmd
• lxlm
• mokc
• ipaddres
• ipadress
• falsk
• douctils
• inda

由于軟件開發(fā)人員通常通過終端獲取這些包，因此很容易以錯(cuò)誤的順序輸入其名稱和字母。由于下載和構(gòu)建按預(yù)期繼續(xù)，受害者沒有意識(shí)到錯(cuò)誤并感染了他們的設(shè)備。雖然 CheckMarx 向 PyPi 存儲(chǔ)庫(kù)報(bào)告了這些包，但在撰寫本文時(shí)它們?nèi)匀辉诰€。

定位 CounterSrike 服務(wù)器 

在他們的應(yīng)用程序中下載并使用這些惡意 Python 包之一后，setup.py 中的嵌入代碼會(huì)運(yùn)行以確認(rèn)主機(jī)是 Windows 系統(tǒng)，如果是，它會(huì)從 GitHub 下載有效負(fù)載 (test.exe)。

隱藏在設(shè)置腳本中的代碼 (Checkmarx)

在 VirusTotal（免費(fèi)的可疑文件分析服務(wù)的網(wǎng)站）上掃描時(shí)，69 個(gè)防病毒引擎中只有 11 個(gè)將文件標(biāo)記為惡意文件，因此它是一種用 C++ 編寫的相對(duì)較新/隱蔽的惡意軟件。

該惡意軟件會(huì)自行安裝并創(chuàng)建一個(gè)啟動(dòng)條目以在系統(tǒng)重新啟動(dòng)之間保持持久性，同時(shí)它還注入一個(gè)過期的系統(tǒng)范圍的根證書。接下來(lái)，它連接到硬編碼的 URL 以接收其配置。如果第三次嘗試失敗，它會(huì)尋找對(duì)發(fā)送到 DGA（域生成算法）地址的 HTTP 請(qǐng)求的響應(yīng)?！斑@是我們第一次在軟件供應(yīng)鏈生態(tài)系統(tǒng)中看到惡意軟件（菌株）使用 DGA，或者在這種情況下，使用 UGA 為惡意活動(dòng)的新指令分配生成的名稱，”Checkmarx 在報(bào)告中評(píng)論道。

攻擊流程圖 （Checkmarx）

在分析師觀察到的案例中，配置命令惡意軟件將主機(jī)招募到 DDoS 機(jī)器人中，該機(jī)器人開始向反恐精英（CounterStrike）1.6 服務(wù)器發(fā)送流量。目標(biāo)似乎是通過感染足夠多的設(shè)備來(lái)關(guān)閉 Counter-Strike 服務(wù)器，以使發(fā)送的流量使服務(wù)器不堪重負(fù)。用于托管惡意軟件的 GitHub 存儲(chǔ)庫(kù)已被刪除，但攻擊者可以通過濫用不同的文件托管服務(wù)來(lái)恢復(fù)惡意操作。

如果你使用了上面提到的 12 個(gè)軟件包，并且可能出現(xiàn)了打字錯(cuò)誤，一定要仔細(xì)檢查你的項(xiàng)目，確認(rèn)是否使用了合法的軟件包。

影響 

PyPi 被惡意攻擊已非個(gè)例。早在今年 6 月，PyPi python 包就被曝發(fā)現(xiàn)將被盜的 AWS 密鑰發(fā)送到不安全的站點(diǎn)。8 月 9 日，又有威脅分析人員在 PyPI 存儲(chǔ)庫(kù)中發(fā)現(xiàn)了 10 個(gè)惡意 Python 包，它們被用于竊取密碼的惡意軟件進(jìn)而感染正在開發(fā)的系統(tǒng)。

Python Package Index (PyPi) 是一個(gè)包含超過 350000 個(gè)開源軟件包的存儲(chǔ)庫(kù)，數(shù)百萬(wàn)開發(fā)人員可以輕松地將其整合到他們的 Python 項(xiàng)目中，以最小的努力構(gòu)建復(fù)雜的應(yīng)用程序。由于開源，軟件開發(fā)人員經(jīng)常使用它來(lái)挑選基于 Python 的項(xiàng)目的構(gòu)建塊，或者與社區(qū)分享他們的工作。但是，由于任何人都可以將包上傳到存儲(chǔ)庫(kù)，并且包不會(huì)被刪除，除非它們被報(bào)告為惡意，因此存儲(chǔ)庫(kù)更常被威脅者濫用，他們使用它來(lái)竊取開發(fā)人員憑據(jù)或部署惡意軟件。雖然 PyPi 可以快速響應(yīng)平臺(tái)上的惡意包報(bào)告，但在提交之前由于缺少?gòu)?qiáng)有力的審查，因此危險(xiǎn)包可能會(huì)潛伏一段時(shí)間。

參考鏈接：

https://medium.com/checkmarx-security/typosquatting-campaign-targeting-12-of-pythons-top-packages-downloading-malware-hosted-on-github-9501f35b8efb