PyPI程式碼庫又現惡意軟體包,騰訊安全威脅情報已收錄,專家提醒碼農小心供應鏈攻擊
據Jfrog科技部落格報導,在 PyPI 儲存庫中發現幾個惡意程式碼,攻擊者試圖植入後門、竊取信用卡資訊、竊取瀏覽器敏感資料、截圖並上傳到指定地址。相關惡意程式碼在從PyPI網站刪除之前已被下載3萬次,騰訊安全專家發現國內部分映象庫尚存在這些惡意程式碼,騰訊安全專家建議軟體開發人員從PyPI 程式碼庫下載資源時,注意進行安全稽核,避免將惡意程式碼安裝到自己的開發環境中。
事件背景
近年來,PyPI、GitHub等軟體儲存庫多次曝出軟體供應鏈攻擊事件:攻擊者將內建後門的程式碼上傳到公共儲存庫,其他開發人員如果不注意對程式碼進行安全稽核,就可能將有害程式碼應用到自己的開發環境,繼而在分發自己開發的軟體時,將惡意程式傳播給終端使用者。
有問題的 Python 包,被發現使用 Base64 編碼進行了混淆:
· pytagora (uploaded by leonora123)
· pytagora2 (uploaded by leonora123)
· noblesse (uploaded by xin1111)
· genesisbot (uploaded by xin1111)
· are (uploaded by xin1111)
· suffer (uploaded by suffer)
· noblesse2 (uploaded by suffer)
· noblessev2 (uploaded by suffer)
PyPI 是 Python Package Index 的縮寫,是 Python 的官方第三方軟體儲存庫,諸如pip 之類的包管理器實用程式依賴它作為包及其依賴項的預設源。將惡意程式碼上傳到官方儲存庫,會導致依賴這些源(或映象源)部署開發環境的軟體開發者在無意中將惡意程式碼傳播出去。從而構成典型的軟體供應鏈攻擊。
據瞭解,PyPI、Github及其他公共程式碼儲存庫本身並不對程式碼內容進行稽核,任何開發人員均可註冊,並上傳程式碼。這種機制類似於其他社交媒體平臺,平臺方並不對內容安全性負責。
騰訊安全專家建議軟體開發人員在使用PyPI、Github等公共程式碼庫分享的程式碼之前,對程式碼內容進行審閱,避免安裝惡意程式碼。騰訊安全已將上述存在惡意程式碼的檔案拉黑,幫助軟體開發人員檢測風險。
惡意樣本分析:
惡意程式碼使用base64方式進行編碼儲存,主要為隱藏惡意後門相應功能。
下圖中的後門程式碼,試圖連線172.16.60.80:9009,然後執行從socket中讀取的Python程式碼。
惡意程式碼透過查詢sqlite資料庫竊取Chrome儲存的敏感資訊,進一步獲取瀏覽器中儲存的所有賬號和登入密碼。
對電腦螢幕截圖竊取敏感資訊。
將盜竊的上述敏感資料上傳到如下介面地址:
hxxps://discordapp.com/api/webhooks/725066562536472720/dj6bPPENAE5SxFzMRB6m7FEPwIbrWkH_5PlSR6RG99pY73wjJ9dVoZTkOrvOQ04cZybR
騰訊安全解決方案:
PyPI惡意程式碼包威脅資料已加入騰訊安全威脅情報資料庫,賦能給騰訊全系列安全產品,客戶可以透過訂閱騰訊安全威脅情報產品,讓全網安全裝置同步具備相應的威脅檢測、防禦、阻斷能力。推薦政企客戶在公有云中部署騰訊雲防火牆、騰訊主機安全(雲鏡)等安全產品檢測防禦相關威脅。
騰訊主機安全(雲鏡)支援對PyPI惡意程式碼包落地檔案進行檢測清除,客戶可登入騰訊雲->主機安全控制檯,檢查病毒木馬告警資訊,將惡意木馬一鍵隔離或刪除。推薦政企客戶透過騰訊主機安全的漏洞管理、基線管理功能對網路資產進行安全漏洞和弱口令檢測。
騰訊iOA、騰訊電腦管家已支援查殺攔截相關惡意軟體包下載。
私有云客戶可透過旁路部署騰訊高階威脅檢測系統(御界)進行流量檢測分析,騰訊高階威脅檢測系統(御界)已支援對政企內網使用者下載相關惡意檔案及惡意後門竊取敏感資訊回傳等活動進行檢測。
政企客戶可透過旁路部署騰訊天幕(NIPS)實時攔截透過PyPI程式碼庫投放的後門連線遠端伺服器,徹底封堵威脅流量。騰訊天幕(NIPS)基於騰訊自研安全算力演算法PaaS優勢,形成具備萬億級海量樣本、毫秒級響應、自動智慧、安全視覺化等能力的網路邊界協同防護體系。
IOCs
MD5
453ddb774d66e75c9b65b68306957ef8
253325d92666c6bb1160780ed85705a5
a61b6c3551d91b1e08a6daf843bcc3ab
5274c20eda8a905784a85d898a038dde
參考資料:
https://jfrog.com/blog/malicious-pypi-packages-stealing-credit-cards-injecting-code/
https://www.theregister.com/2021/07/28/python_pypi_security
https://thehackernews.com/2021/07/several-malicious-typosquatted-python.html
相關文章
- FBI提醒司機:小心針對汽車的惡意軟體攻擊
- BlackBerry《季度全球威脅情報報告》顯示新型惡意軟體攻擊活動激增 70%
- 軟體供應鏈安全如何受到駭客的威脅
- 分佈超過800個惡意NPM包 軟體供應鏈攻擊活動增長迅速NPM
- 構建安全程式碼 防止供應鏈攻擊
- 攻擊者使用SQLite資料庫中的惡意程式碼攻擊應用程式SQLite資料庫
- 數百家媒體機構被部署惡意軟體,美國新聞行業遭受供應鏈攻擊行業
- 每週下載數百萬次!惡意軟體包感染Linux和Windows裝置引發供應鏈攻擊LinuxWindows
- “信任“之殤――安全軟體的“白名單”將放大惡意威脅
- 輕鬆搞定Windows惡意程式碼攻擊(轉)Windows
- 惡意軟體Emotet 的新攻擊方法
- 騰訊安全威脅情報釋出會解讀:數字化時代,為何威脅情報如此重要?
- Win7比XP更易受惡意軟體威脅Win7
- 軟體供應鏈安全
- 安全防範:徹底擊破威脅你的惡意網頁(轉)網頁
- SQL隱碼攻擊漏洞威脅網路安全 防禦措施應從編碼開始做起SQL
- Mac電腦使用者小心!惡意攻擊程式碼被曝藏身廣告圖形檔案Mac
- 威脅情報:網路犯罪分子利用IPFS進行網路釣魚和惡意軟體活動
- 英安全機構稱朝鮮應對惡意勒索軟體攻擊事件負責事件
- MISP-惡意軟體資訊共享平臺和威脅共享
- 網頁廣告氾濫成災?360提醒小心瀏覽器惡意擴充套件劫持攻擊網頁瀏覽器套件
- Trickbot惡意軟體又又又升級了!
- 蘋果iOS全新惡意軟體:專門攻擊未越獄裝置蘋果iOS
- 2022年5大網路威脅惡意軟體
- 騰訊安全威脅情報中心“明廚亮灶”工程:圖分析技術在惡意域名挖掘和家族識別中的應用揭祕
- 網路安全中*具威脅的攻擊方式!
- 威脅情報專欄|ADDP反射攻擊來襲?NTI已支援相關檢測反射
- 阻止惡意軟體和網路攻擊的基本方式
- 下載次數超30,000!PyPI儲存庫再次發現8個存在惡意程式碼的Python包Python
- 三種方法助您緩解SQL隱碼攻擊威脅SQL
- 騰訊安全正式釋出威脅情報小程式,幫助企業掌握第一手情報
- 軟體安全測試之SQL隱碼攻擊SQL
- 安全專家稱惡意軟體開始瞄上蘋果Mac電腦蘋果Mac
- 防止惡意攻擊,伺服器DDoS防禦軟體科普伺服器
- SolarWinds供應鏈攻擊事件分析事件
- 記錄惡意SQL隱碼攻擊引發的RDS只讀資料庫CPU飈100%SQL資料庫
- Osterman Research:近20%公司曾受到社交媒體惡意軟體攻擊
- 6月第2周安全回顧合法網站提供惡意軟體智慧手機威脅大網站