下載次數超30,000!PyPI儲存庫再次發現8個存在惡意程式碼的Python包
在如今的敏捷開發過程中,第三方程式碼庫已經成為每個企業及開發人員不可或缺的一部分。但這也意味著,在引入第三方程式碼的過程中,很可能無意間將存在安全漏洞的程式碼直接置入開發產品當中,這在無形之中增加了軟體使用者的安全風險。
目前,多達8個下載次數超過30,000次的Python包已從PyPI門戶中刪除,因為它們包含惡意程式碼,這再次突出了軟體包儲存庫如何演變為供應鏈攻擊的流行目標。
PyPI是Python包索引的縮寫,是Python的官方第三方軟體儲存庫,像pip這樣的包管理工具依賴它作為包及其依賴項的預設源。
安全研究人員稱,在公共軟體儲存庫中缺乏規範和自動化的安全控制,因此,即便是沒有經驗的攻擊者,也會利用平臺傳播惡意軟體,無論是透過問題程式碼、依賴混淆還是簡單的社會工程攻擊。
下面列出了有問題的Python包,這些包被發現使用Base64 編碼進行了混淆:
pytagora(由 leonora123 上傳)
pytagora2(由 leonora123 上傳)
貴族 (由 xin1111 上傳)
創世機器人(由 xin1111 上傳)
Are(由 xin1111 上傳)
suffer(由suffer上傳)
貴族2(由suffe上傳)
noblessev2(由suffe上傳)
上述軟體包可能被濫用,成為更復雜的威脅的入口點,使攻擊者能夠在目標機器上執行遠端程式碼,收集系統資訊,搶劫信用卡資訊和自動儲存在Chrome和Edge瀏覽器的密碼,甚至竊取身份認證令牌來冒充受害者。
在軟體包庫中,PyPI並不是唯一一個成為入侵者潛在攻擊面的軟體包,npm和RubyGems中發現的惡意軟體包具有可能破壞整個系統的能力,或者作為深入挖掘受害者網路的有價值的起點。
上個月,Sonatype和Vdoo公開了PyPi中出現的輸入錯誤包,這些包可以下載並執行一個有效載荷shell指令碼,該指令碼又可以檢索第三方加密器,如T-Rex、ubqminer或PhoenixMiner,用於在受害系統上挖掘以太坊和Ubiq。
在像PyPI這樣的流行軟體庫中不斷發現惡意軟體包,這是一個令人擔憂的趨勢,可能導致廣泛的供應鏈攻擊。攻擊者能夠利用簡單的混淆技術來引入惡意軟體,這意味著開發人員必須時刻關注程式碼安全並保持警惕。這是一個系統性的威脅,需要引起軟體儲存庫的維護人員和開發人員等多個方面的積極解決及重視。
對於開發人員來說,諸如驗證庫簽名和使用自動應用程式安全工具如 靜態程式碼安全檢測工具、SCA等掃描專案中可疑程式碼,及時檢測並修復程式碼缺陷及安全漏洞,應該是任何CI/CD管道的重要組成部分。當發現惡意程式碼時,諸如此類的自動化工具可以發出警報,以快速定位及修正缺陷。
中科天齊Wukong(悟空)靜態程式碼檢測工具,從原始碼開始,為您的軟體安全保駕護航!
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70000012/viewspace-2784884/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 總下載量超4萬次!PyPI發現11個惡意Python包竊取敏感資訊Python
- 惡意程式碼來襲!周下載 900 萬次的 npm 庫 coa 遭劫持NPM
- 下載量超過一億的流行應用被發現含有惡意模組
- PyPI程式碼庫又現惡意軟體包,騰訊安全威脅情報已收錄,專家提醒碼農小心供應鏈攻擊
- 研究發現微軟 OneDrive 上儲存的惡意軟體突然大幅增加微軟
- 每週下載數百萬次!惡意軟體包感染Linux和Windows裝置引發供應鏈攻擊LinuxWindows
- Ubuntu Snap Store發現惡意程式Ubuntu
- WireShark駭客發現之旅(3)—Bodisparking惡意程式碼Spark
- 28款熱門瀏覽器外掛,超300萬下載量,包含惡意程式碼瀏覽器
- Doctor Web:研究人員在Google Play上發現惡意Android應用 總下載量達數百萬次WebGoAndroid
- Python閉包和儲存自由變數Python變數
- 黑客向熱門JavaScript庫注入惡意程式碼 竊取Copay錢包的比特幣黑客JavaScript比特幣
- 惡意 Python 庫被發現會竊取 SSH 和 GPG 金鑰Python
- Python標準庫分享之儲存物件 (pickle包,cPickle包)Python物件
- python下載的庫包放哪裡Python
- 谷歌Play商城移除85款惡意App 其中一款下載量超500萬次谷歌APP
- Python中scrapy下載儲存圖片Python
- 手機QQ下載的檔案儲存在哪個位置
- 如何從Maven遠端儲存庫下載?Maven
- 查詢當前資料庫存在某個字串的儲存過程資料庫字串儲存過程
- 這個大學生黑客有點狂!釋出42個惡意軟體,下載量超800萬黑客
- 谷歌刪除13個偽裝成遊戲的惡意軟體 下載量已達56萬次谷歌遊戲
- Chrome 擴充套件程式包含惡意程式碼,竊取加密錢包私鑰Chrome套件加密
- python 3.6如何儲存編輯好的程式碼Python
- 還在讓瀏覽器儲存密碼?小心遭惡意軟體竊取瀏覽器密碼
- Powershell惡意程式碼的N種姿勢
- 從函式到包的Python程式碼層次函式Python
- 使用Python實現網頁中圖片的批次下載和水印新增儲存Python網頁
- covd惡意包攻擊案例
- 70 行 python 程式碼實現桌布批量下載Python
- 攻擊者使用SQLite資料庫中的惡意程式碼攻擊應用程式SQLite資料庫
- python_mmdt:從0到1--實現簡單惡意程式碼分類器(二)Python
- 惡意軟體開發——編寫第一個Loader載入器
- python下載包(pycharm)PythonPyCharm
- windowsXP原始碼下載磁力連結,僅做儲存!Windows原始碼
- 惡意程式造成資料庫啟動報錯資料庫
- setuptools把python程式釋出到pypi的攻略Python
- 研究人員發現惡意的NPM包從應用程式和網路表單中竊取資料NPM