據Jfrog科技部落格報導,在 PyPI 儲存庫中發現幾個惡意程式碼,攻擊者試圖植入後門、竊取信用卡資訊、竊取瀏覽器敏感資料、截圖並上傳到指定地址。相關惡意程式碼在從PyPI網站刪除之前已被下載3萬次,騰訊安全專家發現國內部分映象庫尚存在這些惡意程式碼,騰訊安全專家建議軟體開發人員從PyPI 程式碼庫下載資源時,注意進行安全稽核,避免將惡意程式碼安裝到自己的開發環境中。
事件背景
近年來,PyPI、GitHub等軟體儲存庫多次曝出軟體供應鏈攻擊事件:攻擊者將內建後門的程式碼上傳到公共儲存庫,其他開發人員如果不注意對程式碼進行安全稽核,就可能將有害程式碼應用到自己的開發環境,繼而在分發自己開發的軟體時,將惡意程式傳播給終端使用者。
有問題的 Python 包,被發現使用 Base64 編碼進行了混淆:
· pytagora (uploaded by leonora123)
· pytagora2 (uploaded by leonora123)
· noblesse (uploaded by xin1111)
· genesisbot (uploaded by xin1111)
· are (uploaded by xin1111)
· suffer (uploaded by suffer)
· noblesse2 (uploaded by suffer)
· noblessev2 (uploaded by suffer)
PyPI 是 Python Package Index 的縮寫,是 Python 的官方第三方軟體儲存庫,諸如pip 之類的包管理器實用程式依賴它作為包及其依賴項的預設源。將惡意程式碼上傳到官方儲存庫,會導致依賴這些源(或映象源)部署開發環境的軟體開發者在無意中將惡意程式碼傳播出去。從而構成典型的軟體供應鏈攻擊。
據瞭解,PyPI、Github及其他公共程式碼儲存庫本身並不對程式碼內容進行稽核,任何開發人員均可註冊,並上傳程式碼。這種機制類似於其他社交媒體平臺,平臺方並不對內容安全性負責。
騰訊安全專家建議軟體開發人員在使用PyPI、Github等公共程式碼庫分享的程式碼之前,對程式碼內容進行審閱,避免安裝惡意程式碼。騰訊安全已將上述存在惡意程式碼的檔案拉黑,幫助軟體開發人員檢測風險。
惡意樣本分析:
惡意程式碼使用base64方式進行編碼儲存,主要為隱藏惡意後門相應功能。
下圖中的後門程式碼,試圖連線172.16.60.80:9009,然後執行從socket中讀取的Python程式碼。
惡意程式碼透過查詢sqlite資料庫竊取Chrome儲存的敏感資訊,進一步獲取瀏覽器中儲存的所有賬號和登入密碼。
對電腦螢幕截圖竊取敏感資訊。
將盜竊的上述敏感資料上傳到如下介面地址:
hxxps://discordapp.com/api/webhooks/725066562536472720/dj6bPPENAE5SxFzMRB6m7FEPwIbrWkH_5PlSR6RG99pY73wjJ9dVoZTkOrvOQ04cZybR
騰訊安全解決方案:
PyPI惡意程式碼包威脅資料已加入騰訊安全威脅情報資料庫,賦能給騰訊全系列安全產品,客戶可以透過訂閱騰訊安全威脅情報產品,讓全網安全裝置同步具備相應的威脅檢測、防禦、阻斷能力。推薦政企客戶在公有云中部署騰訊雲防火牆、騰訊主機安全(雲鏡)等安全產品檢測防禦相關威脅。
騰訊主機安全(雲鏡)支援對PyPI惡意程式碼包落地檔案進行檢測清除,客戶可登入騰訊雲->主機安全控制檯,檢查病毒木馬告警資訊,將惡意木馬一鍵隔離或刪除。推薦政企客戶透過騰訊主機安全的漏洞管理、基線管理功能對網路資產進行安全漏洞和弱口令檢測。
騰訊iOA、騰訊電腦管家已支援查殺攔截相關惡意軟體包下載。
私有云客戶可透過旁路部署騰訊高階威脅檢測系統(御界)進行流量檢測分析,騰訊高階威脅檢測系統(御界)已支援對政企內網使用者下載相關惡意檔案及惡意後門竊取敏感資訊回傳等活動進行檢測。
政企客戶可透過旁路部署騰訊天幕(NIPS)實時攔截透過PyPI程式碼庫投放的後門連線遠端伺服器,徹底封堵威脅流量。騰訊天幕(NIPS)基於騰訊自研安全算力演算法PaaS優勢,形成具備萬億級海量樣本、毫秒級響應、自動智慧、安全視覺化等能力的網路邊界協同防護體系。
IOCs
MD5
453ddb774d66e75c9b65b68306957ef8
253325d92666c6bb1160780ed85705a5
a61b6c3551d91b1e08a6daf843bcc3ab
5274c20eda8a905784a85d898a038dde
參考資料:
https://jfrog.com/blog/malicious-pypi-packages-stealing-credit-cards-injecting-code/
https://www.theregister.com/2021/07/28/python_pypi_security
https://thehackernews.com/2021/07/several-malicious-typosquatted-python.html