Python 开发人员提醒：PyPI 木马包假冒流行库发动攻击

Ravie Lakshmanan 代码卫士 2023-03-22

收录于合集

#供应链安全 244 个

#开源 372 个

聚焦源代码安全，网罗国内外最新资讯！

专栏·供应链安全

数字化时代，软件无处不在。软件如同社会中的“虚拟人”，已经成为支撑社会正常运转的最基本元素之一，软件的安全性问题也正在成为当今社会的根本性、基础性问题。

随着软件产业的快速发展，软件供应链也越发复杂多元，复杂的软件供应链会引入一系列的安全问题，导致信息系统的整体安全防护难度越来越大。近年来，针对软件供应链的安全攻击事件一直呈快速增长态势，造成的危害也越来越严重。

为此，我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯，分析供应链安全风险，提供缓解建议，为供应链安全保驾护航。

注：以往发布的部分供应链安全相关内容，请见文末“推荐阅读”部分。

网络安全研究员提醒称，“假冒的程序包”正在模仿PyPI 仓库上可用的流行库。

研究人员提到，42款恶意PyPI 包伪装成合法模块如HTTP、AIOHTTP、请求、urllib和urllib3的typosquatted 变体，它们的名称是：aio5、aio6、htps1、httiop、httops、httplat、httpscolor、httpsing、httpslib、httpsos、httpsp、httpssp、httpssus、httpsus、httpxgetter、httpxmodifier、httpxrequester、httpxrequesterv2、httpxv2、httpxv3、libhttps、piphttps、pohttp、requestsd、requestse、requestst、ulrlib3、urelib3、urklib3、urlkib3、urllb、urllib33、urolib3和xhttpsp。

ReversingLabs 的研究员Lucija Valentić指出，“这些包的描述大多不会提到恶意意图。某些包伪装成真实库并对比它们和已知、合法HTTP库之间的对比。”但实际上它们利用下载器作为管道，向受感染主机或信息窃取工具传播第二阶段的恶意软件，窃取敏感数据如密码和令牌。

Fortinet 公司也在本周早些时候披露了PyPI 上的恶意HTTP包，提到这些恶意包推出木马下载器，其中包括打包了多种函数的DLL 文件 (Rdudkye.dll)。

这41个恶意PyPI 包是恶意人员投毒开源库如GitHub、npm、PyPI 和Rubygems，将恶意软件传播到开发者系统并发动供应链攻击的最新例证。

一天前，Checkmarx 公司提到开源npm 注册表中的垃圾包激增，它们的目的就是将受害者重定向到钓鱼链接。

Valentić 指出，“和其它供应链攻击一样，恶意人员正在利用 typosquatting 制造混淆，并利用不谨慎的开发人员不慎使用名称类似的恶意包。”

代码卫士试用地址：https://codesafe.qianxin.com

开源卫士试用地址：https://oss.qianxin.com

推荐阅读

在线阅读版：《2022中国软件供应链安全分析报告》全文

奇安信入选全球《软件成分分析全景图》代表厂商

在线阅读版：《2021中国软件供应链安全分析报告》全文

NPM仓库遭逾1.5万个垃圾邮件包的钓鱼攻击