PyPI暂停新用户注册,阻止恶意软件活动
2024-3-29 17:37:44 Author: mp.weixin.qq.com(查看原文) 阅读量:9 收藏

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

PyPI 临时暂停了用户注册和新建项目,以应对正在进行的恶意软件活动。

PyPI 用于帮助开发人员找到并安装 Python 包。PyPI仓库中含有数千个程序包,是对威胁行动者具有吸引力的目标,后者常常上传 typosquatted 或虚假程序包来攻陷软件开发人员以及实施潜在的供应链攻击活动。

该恶意活动迫使 PyPI 管理员在今天早些时候宣布称,已暂停所有新用户注册,以便缓解恶意活动。

恶意软件活动

Checkmarx 公司发布报告称,威胁行动者从昨天开始就上传了模仿合法项目名称的 PyPI 365程序包。这些程序包中包括 “setup.py” 文件中的恶意代码,一旦安装就会执行,试图从远程服务器中检索额外的 payload。为逃避检测,恶意代码被通过 Fernet 模块加密,而远程资源的 URL 在需要时被动态构建。最终阶段的 payload 是拥有持久能力的信息窃取器,针对存储在 web 浏览器中的数据如登录密码、cookie以及密币扩展。

研究人员给出了完整的恶意条目清单,其中包括很多合法包的多种 typosquatting 变体。Check Point 公司发布一份报告提到,该恶意包清单超过500条且在两个阶段部署。研究人员指出每个程序包都源自具有唯一姓名和邮件的唯一维护人员账户。

Check Point 公司解释称,“值得注意的是,每个维护人员账户仅上传一个程序包,表明在协调攻击中使用了自动化。”研究人员表示所有条目都拥有同样的版本号,包含相同的恶意代码以及姓名似乎通过随机化流程生成。

这起攻击事件强调了软件开发人员和包维护人员利用开源仓库严格验证他们在项目中所用组件的真实性和安全性。这并非 PyPI 首次采取如此激进的步骤来保护社区免受恶意提交的困扰。在去年5月20日,PyPI 仓库的维护人员就采取了相同的措施。

代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com

推荐阅读

日本指责朝鲜发动PyPI供应链攻击

PyPI 仓库存在116款恶意软件,瞄准 Windows 和 Linux 系统

下载量达数千次的27个恶意 PyPI 包瞄准IT专家

恶意 PyPI、NPM、Ruby 包正在瞄准 Mac 设备

恶意 PyPI 包通过编译后的 Python 代码绕过检测

原文链接
https://www.bleepingcomputer.com/news/security/pypi-suspends-new-user-registration-to-block-malware-campaign/

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "” 吧~


文章来源: https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247519178&idx=2&sn=1933612977a1f4eec1b23d3ac5d81da4&chksm=ea94baa0dde333b632f229c81fa83436cee2bcc37585dea1c6a108f61c6cea82fa940cda0313&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh