還記得針對NPM的Typosquatting攻擊嗎？這次它又瞄準了PyPi

近日，斯洛伐克國家安全局（NBU）在 Python 官方的第三方軟體存儲庫——PyPI 上發現10個惡意庫。

我們對於 

typosquatting 其實

並不陌生，上一次類似的攻擊是出現在 NPM 平台，而這一次攻擊者又使用了類似的方法將目標對準了 PyPI。

NBU 專家表示，攻擊者使用 typosquatting 的方法來上傳這些惡意庫到 PyPI 平台上，他們上傳的惡意庫的名字和那些正常的庫的名字非常相似，很容易讓人混淆，比如將」urlib」 寫成 「urllib」。

當開發者上傳一個新庫到 PyPi上時，平台本身並不會對庫做任何的安全檢查，所以攻擊者很容易就可以將庫上線。

那些手誤打錯名字的開發人員會無意間下載這些惡意庫，並將其載入到軟體的安裝腳本中。

腳本中包含惡意軟體，但是功能完好

NBU解釋道，這些惡意庫和那些正常名字的庫代碼相同，所以它們的功能是相同的，但是在其安裝腳本 setup.py 中包含惡意代碼。

這些惡意代碼只會收集被感染主機的信息，比如這些惡意庫的版本和名字，那些安裝了惡意庫的用戶的名字，還有計算機的主機名。

這些被收集的數據，格式就像 「Y:urllib-1.21.1 admin testmachine」，被上傳到一個中國的 IP 地址

「121.42.217.44:8080」。

惡意庫上周就已經被移除了

NBU 的官員上周聯繫了 PyPi 管理員，管理員在周六之前就已經從 PyPi 平台移除了這些惡意庫，這些惡意庫名字如下：

– 

acqusition

 (uploaded 2017-06-03 01:58:01, impersonates acquisition)

– 

apidev-coop

 (uploaded 2017-06-03 05:16:08, impersonates apidev-coop_cms)

– 

bzip

 (uploaded 2017-06-04 07:08:05, impersonates bz2file)

– 

crypt

 (uploaded 2017-06-03 08:03:14, impersonates crypto)

– 

django-server

 (uploaded 2017-06-02 08:22:23, impersonates django-server-guardian-api)

– 

pwd

 (uploaded 2017-06-02 13:12:33, impersonates pwdhash)

– 

setup-tools

 (uploaded 2017-06-02 08:54:44, impersonates setuptools)

– 

telnet

 (uploaded 2017-06-02 15:35:05, impersonates telnetsrvlib)

– 

urlib3

 (uploaded 2017-06-02 07:09:29, impersonates urllib3)

– 

urllib

 (uploaded 2017-06-02 07:03:37, impersonates urllib3)

這些惡意代碼使用 Python 2.x 版本編寫的，它們會在 Python 3.x 版本中報錯。用戶在調試應用程序時發現了它們。

證據表明，惡意庫已經被用在正式的軟體中

NBU表示，這些惡意庫在今年6月到9月之間就一直活躍，有證據表明在一些正式版軟體中也發現了它們的蹤影。

專家建議 Python 開發人員檢查他們的軟體，看是否也使用了被感染的庫，並使用最初安全的庫重新編譯軟體包。

並且，專家建議 Python 開發人員不要使用 pip（一個Python 包安裝程序）來安裝第三方庫，因為 pip 在下載第三方庫時不會進行加密簽名的驗證。

*參考來源：bleepingcomputer ，FB小編 Liki 編譯，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！

本站內容充實豐富，博大精深，小編精選每日熱門資訊，隨時更新，點擊「搶先收到最新資訊」瀏覽吧！

請您繼續閱讀更多來自 FreeBuf 的精彩文章: