聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

PyPI 删除了部署恶意软件并窃取数据的三个软件包，它们的总下载量超过1万次。这三个恶意包通过typosquat合法包的名称诱骗用户。

01

“声誉良好”

两个恶意包从受陷系统中提取数据，其作者通过提高可信度的欺骗手段获得可能虚高的下载量。Palo Alto 公司的产品精力兼 Python 安全项目 Ochrona Security 的维护人员 Andrew Scott 指出，“这两个包都将源代码URL作为现有的流行库，因此浏览PyPI 中该软件包的任何人或者分析该库流行度的任何人都将看到大量 GitHub star 和分叉，表明它们声誉良好。”

这两个软件包是 “dpp-client” 和 “dpp-client1234”，由同一名用户上传，似乎针对的是 Apache Mesos 用户。Apache Mesos 用于管理计算机集群。

这两个库在2021年2月上传到 PyPI 中，之后 dpp-client 库的下载量超过1万次，其中最后一个月的下载量超过600次。Scott 表示 Python 安全团队在自己通知的同一天即12月13日就及时删除了这些数据包。

第三个恶意软件包是木马走私包“aws-login0too”，在12月1日出现在 PyPI 上并在12月10日被删除，在此期间下载量大约为600次。Scott 表示，“我认为 aws-login0tool 的目的是让用户混淆PyPI 上不再存在的工具 aws-login-tool，但可能存在于某些更老旧的镜像中。“他还表示，”dpp-client 软件包可能是为了模拟某种数据处理管道工具的内部组件，但目前尚无法确认这一点。“

02

恶意行为

所有的这三个软件包都通过导入 urllib.request 字符串的方式被识别为恶意性质，因为该字符串常用于提取数据或下载恶意文件。

这些恶意包收集环境变量和文件列表即和 Apache Mesos 相关的文件，并将它们中继到“未知的 web 服务“。

aws-login0tool 执行标准的软件包安装，之后“从无特征域名“中提取 .exe 文件试图执行该文件，它是一个已知的 Windows 木马。

Scott 指出，“很难知道这些恶意包会带来什么影响。木马包可能仅限于某些恶意软件能力，而数据提取真正取决于自身的环境，但我发现它们可收割AWS凭据和其它API密钥。我不太确定Mesos 信息存储在目标目录中。“

03

Python 探查

这些结果是通过对20多万个PyPI 软件包（占总数的三分之二）进行静态分析发现的。研究人员通过 Bandersnatch 下载了这些软件包。

Scott 创建了“非常简单的 Python 脚本，通过 Bandersnatch 稍显复杂的文件夹结构进行递归迭代，之后解压并提取每个sdist、egg，或者传输至单一目录中。他表示，“提取之后，我会使用grep运行大量字符串和正则表达式搜索，之后手动审计结果。” Scott 通过这种方式在某厂商开发的开源包中也找到了一个严重程度较低的漏洞。

推荐阅读

PyPI 仓库被曝多个 typosquatting 库，可触发供应链攻击

详述 PyPI 中的远程代码执行漏洞，可引发供应链攻击

Python 官方软件库 PyPI 遭垃圾软件包洪水攻击

原文链接

https://portswigger.net/daily-swig/pypi-admins-remove-three-malicious-packages-after-more-than-10-000-downloads

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

 觉得不错，就点个 “在看” 或 "赞” 吧~