PyPI 仓库被曝多个 typosquatting 库，可触发供应链攻击

 聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士

上周四，JFrog 公司的研究员 Andrey Polkovnichenko、Omer Kaspi 和 Shachar Menashe 指出，“公共软件仓库中缺少审核和自动化安全控制，使得即使是经验不足的攻击者也能够借它传播恶意软件，或者通过 typosquatting （通过输入错误触发攻击，如误植域名等）、依赖混淆或简单的社工攻击传播恶意软件。“

PyPI 是Python 的官方第三方软件仓库，包管理器如pip 将其作为软件包及其依赖关系的默认来源。

这些恶意Python 程序包被指使用 Base64 编码进行混淆，它们是：

这些程序包可被滥用于成为更复杂威胁的入口点，使得攻击者能够在目标机器上执行远程代码、收集系统信息、窃取信用卡信息和自动存储在 Chrome 和Edge 浏览器中的密码，甚至窃取 Discord 认证令牌假冒受害者。

PyPI 并非演变为潜在攻击面的唯一软件包仓库，npm 和 RubyGems 中也曾被发现存在恶意程序包，它们可能破坏整个系统或称为进入受害者网络的有价值跳转点。

上个月，Sonatype 和 Vdoo 公司披露了 PyPI 中的 typosquatting程序包，它们下载并执行 pyload shell 脚本，检索第三方密币挖掘器如 T-Rex、ubqminer或 PhoenixMiner，在受害者系统上挖掘以太坊和 Ubiq 密币。

JFrog 公司的首席技术官 Asaf Karas 流行仓库认为，如 PyPI 中不断出现恶意软件包的趋势警醒我们，它们可能导致广泛的供应链攻击。攻击者使用简单的混淆技术就引入恶意软件的情况说明，开发人员必须时刻保持警惕。这是一种系统性威胁，需要在多个层面解决，软件程序包的维护人员和开发人员都涵盖在内。开发人员可采取预防措施如验证库签名等。