下載次數超30,000!PyPI儲存庫再次發現8個存在惡意程式碼的Python包

在如今的敏捷開發過程中，第三方程式碼庫已經成為每個企業及開發人員不可或缺的一部分。但這也意味著，在引入第三方程式碼的過程中，很可能無意間將存在安全漏洞的程式碼直接置入開發產品當中，這在無形之中增加了軟體使用者的安全風險。

目前，多達8個下載次數超過30,000次的Python包已從PyPI門戶中刪除，因為它們包含惡意程式碼，這再次突出了軟體包儲存庫如何演變為供應鏈攻擊的流行目標。

PyPI是Python包索引的縮寫，是Python的官方第三方軟體儲存庫，像pip這樣的包管理工具依賴它作為包及其依賴項的預設源。

安全研究人員稱，在公共軟體儲存庫中缺乏規範和自動化的安全控制，因此，即便是沒有經驗的攻擊者，也會利用平臺傳播惡意軟體，無論是透過問題程式碼、依賴混淆還是簡單的社會工程攻擊。

下面列出了有問題的Python包，這些包被發現使用Base64 編碼進行了混淆：

pytagora(由 leonora123 上傳)

pytagora2(由 leonora123 上傳)

貴族 (由 xin1111 上傳)

創世機器人(由 xin1111 上傳)

Are(由 xin1111 上傳)

suffer(由suffer上傳)

貴族2(由suffe上傳)

noblessev2(由suffe上傳)

上述軟體包可能被濫用，成為更復雜的威脅的入口點，使攻擊者能夠在目標機器上執行遠端程式碼，收集系統資訊，搶劫信用卡資訊和自動儲存在Chrome和Edge瀏覽器的密碼，甚至竊取身份認證令牌來冒充受害者。

在軟體包庫中，PyPI並不是唯一一個成為入侵者潛在攻擊面的軟體包，npm和RubyGems中發現的惡意軟體包具有可能破壞整個系統的能力，或者作為深入挖掘受害者網路的有價值的起點。

上個月，Sonatype和Vdoo公開了PyPi中出現的輸入錯誤包，這些包可以下載並執行一個有效載荷shell指令碼，該指令碼又可以檢索第三方加密器，如T-Rex、ubqminer或PhoenixMiner，用於在受害系統上挖掘以太坊和Ubiq。

在像PyPI這樣的流行軟體庫中不斷發現惡意軟體包，這是一個令人擔憂的趨勢，可能導致廣泛的供應鏈攻擊。攻擊者能夠利用簡單的混淆技術來引入惡意軟體，這意味著開發人員必須時刻關注程式碼安全並保持警惕。這是一個系統性的威脅，需要引起軟體儲存庫的維護人員和開發人員等多個方面的積極解決及重視。

對於開發人員來說，諸如驗證庫簽名和使用自動應用程式安全工具如 靜態程式碼安全檢測工具、SCA等掃描專案中可疑程式碼，及時檢測並修復程式碼缺陷及安全漏洞，應該是任何CI/CD管道的重要組成部分。當發現惡意程式碼時，諸如此類的自動化工具可以發出警報，以快速定位及修正缺陷。

中科天齊Wukong(悟空)靜態程式碼檢測工具，從原始碼開始，為您的軟體安全保駕護航!