還記得針對NPM的Typosquatting攻擊嗎?這次它又瞄準了PyPi
近日,斯洛伐克國家安全局(NBU)在 Python 官方的第三方軟體存儲庫——PyPI 上發現10個惡意庫。
我們對於
typosquatting 其實
並不陌生,上一次類似的攻擊是出現在 NPM 平台,而這一次攻擊者又使用了類似的方法將目標對準了 PyPI。
NBU 專家表示,攻擊者使用 typosquatting 的方法來上傳這些惡意庫到 PyPI 平台上,他們上傳的惡意庫的名字和那些正常的庫的名字非常相似,很容易讓人混淆,比如將」urlib」 寫成 「urllib」。
當開發者上傳一個新庫到 PyPi上時,平台本身並不會對庫做任何的安全檢查,所以攻擊者很容易就可以將庫上線。
那些手誤打錯名字的開發人員會無意間下載這些惡意庫,並將其載入到軟體的安裝腳本中。
腳本中包含惡意軟體,但是功能完好
NBU解釋道,這些惡意庫和那些正常名字的庫代碼相同,所以它們的功能是相同的,但是在其安裝腳本 setup.py 中包含惡意代碼。
這些惡意代碼只會收集被感染主機的信息,比如這些惡意庫的版本和名字,那些安裝了惡意庫的用戶的名字,還有計算機的主機名。
這些被收集的數據,格式就像 「Y:urllib-1.21.1 admin testmachine」,被上傳到一個中國的 IP 地址
「121.42.217.44:8080」。
惡意庫上周就已經被移除了
NBU 的官員上周聯繫了 PyPi 管理員,管理員在周六之前就已經從 PyPi 平台移除了這些惡意庫,這些惡意庫名字如下:
–
acqusition
(uploaded 2017-06-03 01:58:01, impersonates acquisition)–
apidev-coop
(uploaded 2017-06-03 05:16:08, impersonates apidev-coop_cms)–
bzip
(uploaded 2017-06-04 07:08:05, impersonates bz2file)–
crypt
(uploaded 2017-06-03 08:03:14, impersonates crypto)–
django-server
(uploaded 2017-06-02 08:22:23, impersonates django-server-guardian-api)
–
pwd
(uploaded 2017-06-02 13:12:33, impersonates pwdhash)–
setup-tools
(uploaded 2017-06-02 08:54:44, impersonates setuptools)–
telnet
(uploaded 2017-06-02 15:35:05, impersonates telnetsrvlib)–
urlib3
(uploaded 2017-06-02 07:09:29, impersonates urllib3)–
urllib
(uploaded 2017-06-02 07:03:37, impersonates urllib3)
這些惡意代碼使用 Python 2.x 版本編寫的,它們會在 Python 3.x 版本中報錯。用戶在調試應用程序時發現了它們。
證據表明,惡意庫已經被用在正式的軟體中
NBU表示,這些惡意庫在今年6月到9月之間就一直活躍,有證據表明在一些正式版軟體中也發現了它們的蹤影。
專家建議 Python 開發人員檢查他們的軟體,看是否也使用了被感染的庫,並使用最初安全的庫重新編譯軟體包。
並且,專家建議 Python 開發人員不要使用 pip(一個Python 包安裝程序)來安裝第三方庫,因為 pip 在下載第三方庫時不會進行加密簽名的驗證。
*參考來源:bleepingcomputer ,FB小編 Liki 編譯,轉載請註明來自FreeBuf.COM
※Optionsbleed 漏洞泄露 Apache Server 的內存信息
※維基解密瞄準俄羅斯:國家機構承包商Peter-Service提供的大規模監控系統公諸於世
※蜜罐背後的影子系統探秘
※如何將Pastebin上的信息應用於安全分析和威脅情報領域
※卡巴斯基:「連接醫療」(Connected Medicine)的安全隱患及其安全建議
TAG:FreeBuf |