PyPI 官方仓库遭遇挖矿恶意组件投毒
报告来源:OSCS开源安全社区
报告作者:OSCS
更新日期:2022-06-28
事件简述
2022 年 06 月 27 日,OSCS 监测发现 PyPI 官方仓库被 ivanpoopoo 上传了 arduino、beautfulsoup、randam、pilloe、pilow、selemium 等恶意组件包。
引用这些恶意组件包后会在用户电脑上下载脚本进行挖矿,该事件较为严重
,OSCS 官方提醒广大开发者关注。
PIP 是 Python 包管理工具,提供了对第三方 Python 包的查找、下载、安装、卸载等功能。
攻击者 ivanpoopoo 通过模仿 pillow, selenium 等知名软件包进行钓鱼,当用户安装并调用攻击者的恶意包(如 selemium.py )时,攻击者会在用户机器上去下载并启动一个“挖矿程序”。
目前 PyPI 官方已经删除该恶意组件,但国内各大镜像站如豆瓣,清华等并未及时删除恶意组件,提醒广大开发者关注。
投毒分析
攻击者通过模仿 beautifulsoup,pillow,selenium 等知名组件上传名称相似的恶意组件进行钓鱼攻击。OSCS 通过分析攻击者上传的典型恶意组件了解攻击过程。
Pilow 的目录结构如下:
(Pilow的目录结构)
安装过程不会触发恶意代码,危险代码存在于 pilow/src/selemium/selemium.py 文件中。
当用户调用恶意组件时,恶意组件在初始化时会分别调用 powershell 和 sh 下载 xmrig 挖矿脚本攻击 windows 和 linux,恶意代码如下:
(恶意代码片段)
进行代码溯源发现挖矿调用的是如下地址的代码
https://github.com/MoneroOcean/xmrig_setup
OSCS 开源安全社区建议广大用户做好资产自查以及预防工作,以免遭受黑客攻击。
处置建议
OSCS 开源安全社区建议使用 Python 的用户排查 Python 环境是否安装恶意钓鱼包,避免遭受损失,详细名单查看链接:
https://www.oscs1024.com/hd/MPS-2022-20217
时间线
6月14日,攻击者注册 PIP 账号
6月27日,攻击者上传 10 个恶意 Python 包
6月27日,OSCS 监测到本次恶意 Python 包投毒行为
了解更多
1. 免费使用 OSCS 的情报订阅服务
OSCS (开源软件供应链安全社区)会第一时间发布开源项目最新的安全风险动态,包括开源组件安全漏洞、投毒情报等信息,社区用户可通过企微、钉钉、飞书等方式进行订阅。
具体订阅方式详见:
https://www.oscs1024.com/docs/vuln-warning/intro/
2. 使用墨菲安全的 IDE 插件帮您快速检测代码安全
在 Jetbrains IDE 插件市场搜索 “murphysec” 安装检测插件,一键检测一键修复
3. 其他
社区官网:
https://www.oscs1024.com
相关文档:
https://www.oscs1024.com/docs/oscs/
开源项目:
https://github.com/murphysecurity/murphysec
PyPI 官方仓库遭遇挖矿恶意组件投毒相关推荐
- IBM J9 Java 虚拟机正式开源;PyPI 官方库被发现混入了名字相似的恶意模块
(点击上方蓝字,快速关注我们) 参考:开源中国.solidot.cnBeta.腾讯科技等 0.IBM J9 Java 虚拟机正式开源,贡献给 Eclipse 基金会管理 去年这个时候,IBM 曾宣布要 ...
- Docker Hub 官方仓库发布编程语言包
Docker 容器发展迅速,正在成为构建分布式应用的平台.而 Docker 项目组的目标就是不断的提升用户快速编码和构建项目的容易程度.而 Docker 的官方仓库 正是通过用户反馈以及一些最佳实践所 ...
- python wheel库(安装包查找)(适用于Python扩展程序包的非官方Windows二进制文件、Pypi官方库、清华大学开源软件镜像源)
适用于Python扩展程序包的非官方Windows二进制文件 Unofficial Windows Binaries for Python Extension Packages Pypi官方库 官方库 ...
- Docker 登录官方仓库
文章目录 背景描述 原因 登录官方仓库 背景描述 从官方的 docker.io 拉取镜像显示: Error response from daemon: toomanyrequests: You hav ...
- docker官方仓库下载镜像
官方仓库镜像地址:https://hub.docker.com/search/ 以下载mysql为例 进入到详情页后我们看到有很多Tags 我们选择5.7.25版本进行下载 # docker pull ...
- CocoaPods制作第三方库,管理自己的私有库以及发布官方库(模块化与组件化)
CocoaPods在这里就不多做介绍了,相信大家都对此都使用过,也知道其对我们的好处.CocoaPods可以使我们项目管理第三方更容易,平时第三方库都是pod install下来的,再也不用之前的手动 ...
- CPU占用率爆满,服务器遭遇挖矿如何排查
写在前面 之前上学在阿里云租了台学生服务器,装了一个Docker玩,后来不知道怎么回事,通过Docker连客户端暴露的端口 被植入了国外的挖矿木马,只部署了一个毕设项目,CPU天天爆满,机器被拉去挖矿 ...
- 达梦数据库官方仓库地址
中央仓库地址: https://mvnrepository.com/artifact/com.dameng/DmJdbcDriver18/8.1.2.141 坐标: <!-- https://m ...
- 服务器遭遇挖矿脚本入侵,歪果仁玩的真花
1.服务器突然卡顿,CPU和内存均占用过高.调查发现一恶意脚本,名为"newinit.sh",翻开一看,歪果仁真会玩. 2.newinit.sh 源文件 #!/bin/sh uli ...
- Maven向本地仓库导入官方仓库没有的jar包
命令解释: mvn install:install-file -Dfile=jar文件所在路径 -DgroupId=包名 -DartifactId=项目名 -Dversion=版本号 -Dpackag ...
最新文章
- 使用AIX系统及基本命令
- 信贷风控知识问答库(持续更新)
- Bootstrap 学习笔记4 巨幕页头略缩图警告框
- os和shutil模块
- 富编译器汇总及二次开发Demo
- createPattern() 自定义宽高
- java8四大核心函数式接口(模拟实现,全网最通俗易懂)
- 知识图谱前端插件_前端学习曲线原来越陡,说说我的学习经历
- 深度有趣 | 29 方言种类分类
- C语言指针类型和类型转换
- dlibdotnet 人脸相似度源代码_C#开发的人脸左右相似度计算软件源码分析
- 人人商城小程序消息服务器配置,人人商城小程序前端对接教程
- 释放linux缓存 echo 1 > /proc/sys/vm/drop_caches
- 腾讯地图api使用——地图选点自动定位到当前位置
- 手机APP UserAgent查询
- h3c服务器登录密码修改,H3C交换机配置ssh密码验证登录方式
- enumerate和iter的使用
- 浅谈服务器选择固态硬盘的几个优缺点
- 语音识别-基础(一):简介【语音转文本】
- 看不见的竞争-谈谈策略设计
热门文章
- 英语背单词软件需求分析
- 如何删除剽悍的应用软件
- Several ports (8005, 8080, 8009) required by demo are already in use. The server may already be runn
- 命令行如何 copy 文件内容到剪切板(clipboard)?
- Ubuntu Linux,及Python matplot,安装Times New Roman等字体,让图标签可以用Times New Roman等字体
- 苍蓝誓约服务器维护什么时候结束,《苍蓝誓约》12月10日09:30停服维护公告
- TMS320F28335与10位数模转换器TLC5615的SPI通讯问题2(数模转换芯片TLC5615 原理篇)
- 如何从 vue-element-admin 迁移到 Fantastic-admin
- 解决Shiro+SpringBoot异步任务长时间运行导致的UnknownSessionException错误问题
- ESP8266 SOC门磁系统(一)---短信报警功能