作者|研究人员发现,名为“devfather777”的网友发布了12个上传到PyPi仓库的包,并使用与其他流行包相似的名称来诱骗软件开发者使用恶意版本,从而对俄罗斯反恐精英1.6服务器进行DDoS钓鱼攻击。网络钓鱼活动这种排版攻击依赖于开发人员使用错误的名称,导致使用看起来与合法包相似的恶意包。例如,此活动中的一些软件包及其合法对应物(括号内)是Gesnim(Gensim)、TensorFolw(TensorFlow)和ipaddress(ipaddress)。恶意包仍在PyPi上上传恶意PyPi包的完整列表为:GesnimKearsTensorFolwSeabrontqmdlxlmmokcipaddresipadressfalskductilsinda由于软件开发人员通常通过终端获取这些包,因此很容易以错误的顺序输入它们的名称和字母。随着下载和构建按预期进行,受害者没有意识到错误,他们的设备已被感染。尽管CheckMarx将这些包报告给了PyPi存储库,但在撰写本文时它们仍然在线。在针对CounterSrike服务器下载并在其应用程序中使用这些恶意Python包之一后,setup.py中的嵌入式代码运行以确认主机是Windows系统,如果是,它会下载有效负载(test.exe).隐藏在设置脚本(Checkmarx)中的代码在VirusTotal(免费可疑文件分析服务的网站)上扫描时,69个防病毒引擎中只有11个将文件标记为恶意文件,因此它是用C++编写的相对较新/隐蔽的代码恶意软件。该恶意软件会自行安装并创建一个引导条目以在系统重启后持续存在,同时它还会注入一个过期的系统范围根证书。接下来,它连接到硬编码URL以接收其配置。如果第三次尝试失败,它会寻找对发送到DGA(域生成算法)地址的HTTP请求的响应。“这是我们第一次看到软件供应链生态系统中的恶意软件(菌株)使用DGA,或者在本例中为UGA,将生成的名称分配给恶意活动的新指令,”Checkmarx在报告中评论道。攻击流程图(Checkmarx)在分析师观察到的案例中,配置命令恶意软件将主机招募到DDoS机器人中,该机器人开始向CounterStrike1.6服务器发送流量。目标似乎是通过感染足够多的设备使发送的流量使服务器不堪重负来关闭Counter-Strike服务器。用于托管恶意软件的GitHub存储库已被删除,但攻击者可以通过滥用不同的文件托管服务来恢复恶意操作。如果您正在使用上面提到的12个包中的任何一个,并且您可能打错了字,请务必仔细检查您的项目以查看您是否使用合法的包。影响PyPi的恶意攻击也不例外。早在今年6月,就发现PyPipython包将被盗的AWS密钥发送到不安全的站点。8月9日,另一位威胁分析师在PyPI存储库中发现了10个恶意Python包,恶意软件使用这些包窃取密码并感染正在开发的系统。Python包索引(PyPi)是一个包含超过350,000个开源包的存储库,数百万开发人员可以轻松地将这些包合并到他们的Python项目中,从而以最少的工作量构建复杂的应用程序。由于它是开源的,软件开发人员经常使用它来为基于Python的项目挑选构建块,或者与社区分享他们的工作。然而,由于任何人都可以将包上传到存储库,并且包不会被删除,除非它们被报告为恶意的,因此存储库更常被威胁行为者滥用,他们使用它来窃取开发人员凭据或部署恶意软件。虽然PyPi可以快速响应平台上的恶意包报告,但由于在提交前缺乏强有力的审查,危险包可能会潜伏一段时间。参考链接:https://medium.com/checkmarx-security/typosquatting-campaign-targeting-12-of-pythons-top-packages-downloading-malware-hosted-on-github-9501f35b8efb
