报告来源:OSCS开源安全社区

报告作者:OSCS

更新日期:2022-06-28

事件简述

2022 年 06 月 27 日,OSCS 监测发现 PyPI 官方仓库被 ivanpoopoo 上传了 arduino、beautfulsoup、randam、pilloe、pilow、selemium 等恶意组件包。

引用这些恶意组件包后会在用户电脑上下载脚本进行挖矿,该事件较为严重,OSCS 官方提醒广大开发者关注。

PIP 是 Python 包管理工具,提供了对第三方 Python 包的查找、下载、安装、卸载等功能。

攻击者 ivanpoopoo 通过模仿 pillow, selenium 等知名软件包进行钓鱼,当用户安装并调用攻击者的恶意包(如 selemium.py )时,攻击者会在用户机器上去下载并启动一个“挖矿程序”。

目前 PyPI 官方已经删除该恶意组件,但国内各大镜像站如豆瓣,清华等并未及时删除恶意组件,提醒广大开发者关注。

投毒分析

攻击者通过模仿 beautifulsoup,pillow,selenium 等知名组件上传名称相似的恶意组件进行钓鱼攻击。OSCS 通过分析攻击者上传的典型恶意组件了解攻击过程。

Pilow 的目录结构如下:

(Pilow的目录结构)

安装过程不会触发恶意代码,危险代码存在于 pilow/src/selemium/selemium.py 文件中。

当用户调用恶意组件时,恶意组件在初始化时会分别调用 powershell 和 sh 下载 xmrig 挖矿脚本攻击 windows 和 linux,恶意代码如下:

(恶意代码片段)

进行代码溯源发现挖矿调用的是如下地址的代码

https://github.com/MoneroOcean/xmrig_setup

OSCS 开源安全社区建议广大用户做好资产自查以及预防工作,以免遭受黑客攻击。

处置建议

OSCS 开源安全社区建议使用 Python 的用户排查 Python 环境是否安装恶意钓鱼包,避免遭受损失,详细名单查看链接:

https://www.oscs1024.com/hd/MPS-2022-20217

时间线

6月14日,攻击者注册 PIP 账号

6月27日,攻击者上传 10 个恶意 Python 包

6月27日,OSCS 监测到本次恶意 Python 包投毒行为

了解更多

1. 免费使用 OSCS 的情报订阅服务

OSCS (开源软件供应链安全社区)会第一时间发布开源项目最新的安全风险动态,包括开源组件安全漏洞、投毒情报等信息,社区用户可通过企微、钉钉、飞书等方式进行订阅。

具体订阅方式详见:

https://www.oscs1024.com/docs/vuln-warning/intro/

2. 使用墨菲安全的 IDE 插件帮您快速检测代码安全

在 Jetbrains IDE 插件市场搜索 “murphysec” 安装检测插件,一键检测一键修复

3. 其他

社区官网:

https://www.oscs1024.com

相关文档:

https://www.oscs1024.com/docs/oscs/

开源项目:

https://github.com/murphysecurity/murphysec

PyPI 官方仓库遭遇挖矿恶意组件投毒相关推荐

  1. IBM J9 Java 虚拟机正式开源;PyPI 官方库被发现混入了名字相似的恶意模块

    (点击上方蓝字,快速关注我们) 参考:开源中国.solidot.cnBeta.腾讯科技等 0.IBM J9 Java 虚拟机正式开源,贡献给 Eclipse 基金会管理 去年这个时候,IBM 曾宣布要 ...

  2. Docker Hub 官方仓库发布编程语言包

    Docker 容器发展迅速,正在成为构建分布式应用的平台.而 Docker 项目组的目标就是不断的提升用户快速编码和构建项目的容易程度.而 Docker 的官方仓库 正是通过用户反馈以及一些最佳实践所 ...

  3. python wheel库(安装包查找)(适用于Python扩展程序包的非官方Windows二进制文件、Pypi官方库、清华大学开源软件镜像源)

    适用于Python扩展程序包的非官方Windows二进制文件 Unofficial Windows Binaries for Python Extension Packages Pypi官方库 官方库 ...

  4. Docker 登录官方仓库

    文章目录 背景描述 原因 登录官方仓库 背景描述 从官方的 docker.io 拉取镜像显示: Error response from daemon: toomanyrequests: You hav ...

  5. docker官方仓库下载镜像

    官方仓库镜像地址:https://hub.docker.com/search/ 以下载mysql为例 进入到详情页后我们看到有很多Tags 我们选择5.7.25版本进行下载 # docker pull ...

  6. CocoaPods制作第三方库,管理自己的私有库以及发布官方库(模块化与组件化)

    CocoaPods在这里就不多做介绍了,相信大家都对此都使用过,也知道其对我们的好处.CocoaPods可以使我们项目管理第三方更容易,平时第三方库都是pod install下来的,再也不用之前的手动 ...

  7. CPU占用率爆满,服务器遭遇挖矿如何排查

    写在前面 之前上学在阿里云租了台学生服务器,装了一个Docker玩,后来不知道怎么回事,通过Docker连客户端暴露的端口 被植入了国外的挖矿木马,只部署了一个毕设项目,CPU天天爆满,机器被拉去挖矿 ...

  8. 达梦数据库官方仓库地址

    中央仓库地址: https://mvnrepository.com/artifact/com.dameng/DmJdbcDriver18/8.1.2.141 坐标: <!-- https://m ...

  9. 服务器遭遇挖矿脚本入侵,歪果仁玩的真花

    1.服务器突然卡顿,CPU和内存均占用过高.调查发现一恶意脚本,名为"newinit.sh",翻开一看,歪果仁真会玩. 2.newinit.sh 源文件 #!/bin/sh uli ...

  10. Maven向本地仓库导入官方仓库没有的jar包

    命令解释: mvn install:install-file -Dfile=jar文件所在路径 -DgroupId=包名 -DartifactId=项目名 -Dversion=版本号 -Dpackag ...

最新文章

  1. 使用AIX系统及基本命令
  2. 信贷风控知识问答库(持续更新)
  3. Bootstrap 学习笔记4 巨幕页头略缩图警告框
  4. os和shutil模块
  5. 富编译器汇总及二次开发Demo
  6. createPattern() 自定义宽高
  7. java8四大核心函数式接口(模拟实现,全网最通俗易懂)
  8. 知识图谱前端插件_前端学习曲线原来越陡,说说我的学习经历
  9. 深度有趣 | 29 方言种类分类
  10. C语言指针类型和类型转换
  11. dlibdotnet 人脸相似度源代码_C#开发的人脸左右相似度计算软件源码分析
  12. 人人商城小程序消息服务器配置,人人商城小程序前端对接教程
  13. 释放linux缓存 echo 1 > /proc/sys/vm/drop_caches
  14. 腾讯地图api使用——地图选点自动定位到当前位置
  15. 手机APP UserAgent查询
  16. h3c服务器登录密码修改,H3C交换机配置ssh密码验证登录方式
  17. enumerate和iter的使用
  18. 浅谈服务器选择固态硬盘的几个优缺点
  19. 语音识别-基础(一):简介【语音转文本】
  20. 看不见的竞争-谈谈策略设计

热门文章

  1. 英语背单词软件需求分析
  2. 如何删除剽悍的应用软件
  3. Several ports (8005, 8080, 8009) required by demo are already in use. The server may already be runn
  4. 命令行如何 copy 文件内容到剪切板(clipboard)?
  5. Ubuntu Linux,及Python matplot,安装Times New Roman等字体,让图标签可以用Times New Roman等字体
  6. 苍蓝誓约服务器维护什么时候结束,《苍蓝誓约》12月10日09:30停服维护公告
  7. TMS320F28335与10位数模转换器TLC5615的SPI通讯问题2(数模转换芯片TLC5615 原理篇)
  8. 如何从 vue-element-admin 迁移到 Fantastic-admin
  9. 解决Shiro+SpringBoot异步任务长时间运行导致的UnknownSessionException错误问题
  10. ESP8266 SOC门磁系统(一)---短信报警功能