Sonatype是一家专注于软件供应链安全管理的研究公司,刚刚在官方Python软件存储库(PyPI)中发现了六种包含不同恶意软件的恶意软件。蟒蛇包。恶意内容隐藏在setup.py安装说明文件中,这反过来会导致加密货币挖掘恶意软件被下载并安装到受害者的系统上。Nexus防火墙组件分析过程(图片来自:Sonatype)在过去的几个月里,这些恶意软件包被下载了近5000次,发布者使用用户名nedog123。learninglib中包含的maratlib依赖如下:maratlib:2371maratlib1:379matplatlib-plus:913mllearnlib:305mplatlib:318learninglib:626LKEK也指向maratlib中的一些依赖明显使用了错误的单词拼接方式,故意碰通俗PyPI上的机器学习包文件(比如用李鬼mplatlib来伪造官方的matplotlib)。maratlib代码包含严重混淆虽然此类攻击看似旨在窃取部分系统资源,但供应链安全攻击却让Sonatype感到紧张。0.6代码中突出显示的GitHubURLSonatype详细解释了他们如何检测到加密挖矿恶意软件,即使代码被严重虚张声势并从GitHub调用其他包。aza2.sh中的Bash脚本也在某些版本的maratlib中被发现。最后,Sonatype指出,这类恶意软件不太可能影响大多数运行高级防病毒保护软件的普通用户,而是更针对拥有高性能Linux机器的机器学习研究人员。
