CheckPoint研究人员在Python包索引(PyPI)上发现了十个恶意包。这些软件包安装了信息窃取程序,允许攻击者窃取开发人员的私人数据和个人凭据。研究人员提供了有关恶意包的详细信息:Ascii2text在名称和描述上模仿了流行的艺术包。可以在没有发布部分的情况下复制整个项目描述,防止用户意识到这是一个假包。恶意部分在包init.py文件中,由setup.py安装脚本导入。init.py文件中的代码负责下载和执行搜索本地密码并使用discordweb挂钩上传的恶意脚本。Pyg-utils、Pymocks和PyProto2允许攻击者窃取用户的AWS凭证。Pyg-utils连接到同一个恶意域(pygrata.com),Pymocks和PyProto2具有几乎相同的针对不同域的代码-pymocks.com。Test-async在其描述中被描述为“一个非常酷的测试包,它非常有用,每个人100%都需要它”。在其setup.py安装脚本中,它从Web下载并执行潜在的恶意代码。在下载片段之前,它会通知Discord频道“新运行”已经开始。Free-net-vpn和Free-net-vpn2是针对环境变量的恶意包。它在其setup.py安装脚本中有一个干净的文档化代码来获取用户的凭据。然后将这些秘密发布到由动态DNS映射服务映射的网站。Zlibsrc模仿zlib项目并包含一个从外部源下载和运行恶意文件的脚本。Browserdiv是一个恶意包,旨在通过收集安装程序凭据并将其发送到预定义的discordwebhook来窃取安装程序凭据。虽然根据它的名字,它似乎是针对网页设计相关的程序(bowser、div),但根据它的描述,这个包的动机是在discord中使用selfbots。WINRPCexploit,虽然被描述为“windowsRPCexploitpackage”,但实际上是一个凭证窃取包。执行时,该程序包将服务器的环境变量(通常包含凭据)上传到攻击者控制的远程站点。尽管CheckPoint报告了找到的包并将它们从PyPI中删除,但在其系统上下载这些包的软件开发人员仍可能面临风险。Bleepingcomputer指出,在许多情况下,恶意包为可能的供应链攻击奠定了基础,因此开发人员的计算机可能只是广泛感染的起点,应该对代码进行恶意代码审计。重要的是要记住PyPI上的任何包都没有安全保证,用户有责任仔细检查名称、发布历史、提交详细信息、主页链接和下载数量。所有这些元素一起帮助确定Python包是可信的还是潜在的恶意包。
