托管在Python包索引(PyPI)存储库中的三个恶意包被发现总共被下载了12,000次——并且可能被偷偷安装在各种应用程序上。独立研究员AndrewScott在对PyPI中包含的代码进行近站点范围的分析时发现了这些包,PyPI是一个用Python编程语言创建的软件代码库。与GitHub、npm和RubyGems一样,PyPI允许编码人员上传包,开发人员可以使用这些包来构建各种应用程序、服务和其他项目。不幸的是,一个恶意包可以安装到多个不同的项目中——用加密矿工、信息窃取者等感染它们,并使修复成为一个复杂的过程。在这种情况下,Scott发现了一个恶意包,其中包含已知的木马恶意软件和两个信息窃取程序。他说这个木马程序包被称为“aws-login0tool”,一旦安装,它就会获取一个负载可执行文件,结果证明这是一个已知的木马程序。Scott在周日的一篇帖子中解释说:“我发现这个包是因为当我查看setup.py时,它在多个文本搜索中被标记,因为这是Python包中恶意代码最常见的地方之一,可以执行任意代码安装时在那里。”“具体来说,我通过查找importurllib.request发现了这个,因为它经常被用来窃取数据或下载恶意文件,这也是由fromsubprocessimportPopen触发的。是的,这有点可疑,因为大多数包不需要执行任意命令行代码。”Scott还通过查看importurllib.request字符串识别了另外两个恶意包,这两个包都是为数据泄露而构建的。这两个名为“dpp-client”和“dpp-client1234I”的文件是由同一用户上传的在二月份。在安装过程中,他们收集了有关环境和文件列表的详细信息,并且似乎“专门寻找与ApacheMesos相关的文件”,Scott说,这是一个管理计算机集群的开源项目。研究人员,一旦信息被收集,它就会被发送到一个未知的网络服务。Python安全团队在12月10日收到通知后删除了已识别的包,但所有三个包仍然存在,因为项目是在删除之前导入的。Scott表示,该木马程序包于12月1日首次添加到PyPI,此后已被下载近600次。至于数据窃取者,dpp-client包的下载量已超过10,000次,其中上个月下载量超过600次;dpp-client1234已被下载约1,500次。并且这两个包的源代码URL都模仿了现有的流行库,“所以任何人在PyPI中浏览包或分析库的流行度都会看到大量的GitHub星标和分支,这代表着良好的声誉。”软件供应链已成为一种越来越流行的恶意软件分发方法。例如,上周在Node.js包管理器(npm)代码存储库中发现了一系列旨在收集Discord令牌的恶意包。这些软件包可用于接管毫无戒心的用户的帐户和服务器。本文翻译自:https://threatpost.com/malicious-pypi-code-packages/176971/如有转载请注明出处。
