多家媒體披露，Python 軟件包索引（PyPI）資源庫(kù)中一個(gè)“休眠已久”的軟件包在兩年后突然再次更新了，研究人員發(fā)現(xiàn)，威脅攻擊者利用其傳播名為 Nova Sentinel 的信息竊取惡意軟件。

軟件供應(yīng)鏈安全公司 Phylum 表示，2022 年 4 月，一個(gè)為 django-log-tracker 的軟件包首次發(fā)布出現(xiàn)在 PyPI 上。兩年后，網(wǎng)絡(luò)研究人員重新檢測(cè)到該庫(kù)出現(xiàn)異常更新。

研究人員指出，Django-log-tracker 自上線以來(lái)已經(jīng)被其它用戶下載了 3866 次，但鏈接的 GitHub 存儲(chǔ)庫(kù)自 2022 年 4 月 10 日以來(lái)沒(méi)有更新過(guò)一次，本次惡意更新表明該庫(kù)開發(fā)者的 PyPI 賬戶很可能已經(jīng)被威脅攻擊者入侵了。

值得一提的是，惡意版本（1.0.4）在發(fā)布當(dāng)日被下載 107 次。目前，django-log-tracker 軟件包已無(wú)法從 PyPI 下載。

研究人員在分析后發(fā)現(xiàn)，威脅攻擊者的惡意更改簡(jiǎn)單明了，包括從遠(yuǎn)程服務(wù)器（“45.88.180[.] 54”）獲取一個(gè)名為“Updater_1.4.4_x64.exe”的可執(zhí)行文件，然后使用 Python os.startfile（）函數(shù)啟動(dòng)它。二進(jìn)制的執(zhí)行文件嵌入了 Nova Sentinel 竊取惡意軟件。（Sekoia 在 2023 年 11 月首次記錄到其以虛假 Electron 應(yīng)用程序的形式，在提供視頻游戲下載的虛假網(wǎng)站上瘋狂傳播）

此外，威脅攻擊者在惡意更新中還幾乎刪除了 django-log-tracker 軟件包的大部分原始內(nèi)容，只留下了 __init__.py 和 example.py 文件。

最后，Phylum 安全研究人員強(qiáng)調(diào)，此次 PyPI 軟件包傳播惡意軟件案例有趣之處在于，攻擊向量似乎是通過(guò)一個(gè)受損的 PyPI 賬戶進(jìn)行了一次供應(yīng)鏈攻擊，如果該軟件包這是一個(gè)非常“流行”的包，那么任何將此包列為依賴項(xiàng)的項(xiàng)目，如果在其依賴項(xiàng)文件中沒(méi)有指定版本或指定靈活版本，都會(huì)獲取此包的最新惡意版本。

參考文章：https://thehackernews.com/2024/02/dormant-pypi-package-compromised-to.html