CheckPoint的安全研究人员在Python包索引(PyPI)上发现了10个恶意包,PyPI是Python开发人员使用的主要Python包索引。第一个恶意包是Ascii2text,这是一个通过名称和描述模仿流行艺术包的恶意包。在CheckPoint的公告中,攻击者复制了整个项目描述,以防止用户意识到这是一个恶意的假包,而不是过去常见的部分复制描述。下载后,Ascii2text会下载一个脚本,该脚本收集存储在网络浏览器(例如GoogleChrome、MicrosoftEdge、Brave、Opera和Yandex浏览器)中的密码。在其公告中,CheckPoint还提到了三个独立的软件包,Pyg-utils、Pymocks和PyProto2,其共同目标是窃取用户的AWS凭证。Test-async和Zlibsrc库也出现在报告中。根据CheckPoint的说法,这两个软件包在安装过程中都会下载并执行潜在的恶意代码。CheckPoint还提到了另外三组恶意软件包。Free-net-vpn、Free-net-vpn2和WINRPCexploit,都能够窃取用户凭据和环境变量。最后,CheckPoint的公告提到了Browserdiv,这是一个恶意程序包,旨在通过收集并将它们发送到预定义的Discordwebhook来窃取安装程序的凭据。CheckPoint在公告中写道,虽然从其命名构成来看,Browserdiv似乎是针对与网页设计相关的编程(浏览器,div),但根据其描述,该软件包的动机是在Discord中使用自机器人。根据CheckPoint的公告,安全研究人员一旦发现这些恶意用户和恶意包,便通过PyPI官网发出警报,PyPI在CheckPoint披露恶意包后迅速将这些包移除。不幸的是,这并不是第一次在PyPI存储库中发现恶意开源包。2021年11月,JFrog安全研究团队透露,它从PyPI中发现了11个新的恶意软件包,下载量超过40,000。为了减少PyPI上恶意包的存在,PyPI存储库的团队从7月开始对归类为“关键”的项目实施双因素身份验证(2FA)策略。
