PyPI 管理员删除已潜伏10个月且下载量超1万次的恶意包
聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
PyPI 删除了部署恶意软件并窃取数据的三个软件包,它们的总下载量超过1万次。这三个恶意包通过typosquat合法包的名称诱骗用户。
01
“声誉良好”
两个恶意包从受陷系统中提取数据,其作者通过提高可信度的欺骗手段获得可能虚高的下载量。Palo Alto 公司的产品精力兼 Python 安全项目 Ochrona Security 的维护人员 Andrew Scott 指出,“这两个包都将源代码URL作为现有的流行库,因此浏览PyPI 中该软件包的任何人或者分析该库流行度的任何人都将看到大量 GitHub star 和分叉,表明它们声誉良好。”
这两个软件包是 “dpp-client” 和 “dpp-client1234”,由同一名用户上传,似乎针对的是 Apache Mesos 用户。Apache Mesos 用于管理计算机集群。
这两个库在2021年2月上传到 PyPI 中,之后 dpp-client 库的下载量超过1万次,其中最后一个月的下载量超过600次。Scott 表示 Python 安全团队在自己通知的同一天即12月13日就及时删除了这些数据包。
第三个恶意软件包是木马走私包“aws-login0too”,在12月1日出现在 PyPI 上并在12月10日被删除,在此期间下载量大约为600次。Scott 表示,“我认为 aws-login0tool 的目的是让用户混淆PyPI 上不再存在的工具 aws-login-tool,但可能存在于某些更老旧的镜像中。“他还表示,”dpp-client 软件包可能是为了模拟某种数据处理管道工具的内部组件,但目前尚无法确认这一点。“
02
恶意行为
所有的这三个软件包都通过导入 urllib.request 字符串的方式被识别为恶意性质,因为该字符串常用于提取数据或下载恶意文件。
这些恶意包收集环境变量和文件列表即和 Apache Mesos 相关的文件,并将它们中继到“未知的 web 服务“。
aws-login0tool 执行标准的软件包安装,之后“从无特征域名“中提取 .exe 文件试图执行该文件,它是一个已知的 Windows 木马。
Scott 指出,“很难知道这些恶意包会带来什么影响。木马包可能仅限于某些恶意软件能力,而数据提取真正取决于自身的环境,但我发现它们可收割AWS凭据和其它API密钥。我不太确定Mesos 信息存储在目标目录中。“
03
Python 探查
这些结果是通过对20多万个PyPI 软件包(占总数的三分之二)进行静态分析发现的。研究人员通过 Bandersnatch 下载了这些软件包。
Scott 创建了“非常简单的 Python 脚本,通过 Bandersnatch 稍显复杂的文件夹结构进行递归迭代,之后解压并提取每个sdist、egg,或者传输至单一目录中。他表示,“提取之后,我会使用grep运行大量字符串和正则表达式搜索,之后手动审计结果。” Scott 通过这种方式在某厂商开发的开源包中也找到了一个严重程度较低的漏洞。
推荐阅读
PyPI 仓库被曝多个 typosquatting 库,可触发供应链攻击
详述 PyPI 中的远程代码执行漏洞,可引发供应链攻击
Python 官方软件库 PyPI 遭垃圾软件包洪水攻击
原文链接
https://portswigger.net/daily-swig/pypi-admins-remove-three-malicious-packages-after-more-than-10-000-downloads
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
PyPI 管理员删除已潜伏10个月且下载量超1万次的恶意包相关推荐
- “一键删除中国App”应用海外走红,下载量破500万!谷歌:我先把你删除了
有个专门"排挤"中国App的应用在海外突然火了起来. 这个应用叫"Remove China Apps"(删除中国App),它的功能就正如它的名字--扫描用户手机 ...
- 互联网晚报 | 12月6日 星期一 | 荣耀线下门店超3万家;鸿蒙系统明年正式登陆欧洲;凯撒旅业与众信旅游终止合并...
今日看点 ✦ 华为:鸿蒙Harmony OS系统明年将正式登陆欧洲 ✦ 荣耀线下门店超3万家,线下销售占比超过70% ✦ 阿里达摩院成功研发存算一体AI芯片,突破冯·诺依曼架构性能瓶颈 ✦ 360:将 ...
- 下载量高达163万的易语言牛人写的一个超牛的软件(即将删除)
引自易语言论坛"毁人不倦"贴子(http://bbs.eyuyan.com/dispbbs.asp?boardid=124&id=180180): 在华军上突然发现一个下载 ...
- 电脑值得收藏的10个网站,知乎超100万人推荐,让你办公事半功倍,还请低调使用!!!
今天用到了几个工具网站觉得还不错,今天就来推荐10个知乎超百万人推荐的网站,里面很多网站也是自己一直都在使用的,觉得还不错,帮助了很多,下面就一起来看看是那些吧! 10个网站,知乎超100万人推荐 1 ...
- 短短两个月 Snapchat下载量下跌了22%
据外媒报道,在今年3月,当Snap公司上市的时候,一些分析师表示他们担心该公司的"阅后即焚"照片分享应用Snapchat的发展速度会减缓. 现在,新的数据表明这些担心是有根据的. ...
- 互联网日报 | 阿里国内消费者已接近10亿;联想布局半导体赛道;我国5G用户超过6千万户...
今日看点 ✦ 阿里巴巴CEO张勇:阿里国内消费者已接近10亿 ✦ 华为余承东:麒麟9000芯片只生产到9月15号,数量有限 ✦ 联想控股:战略性入股富瀚微,布局半导体赛道 ✦ 动力电池市场格局发生改变 ...
- Rust 编程语言曝高危漏洞,可导致文件和目录遭删除
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Rust 编程语言的维护人员发布安全更新,修复了一个高危漏洞 (CVE-2022-21658).该漏洞可导致恶意人员越权从易受攻击系统删除文件和 ...
- 报告:抖音海外版下载量突破10亿大关 挑战Facebook
新浪科技讯 北京时间2月28日早间消息,据美国财经媒体CNBC援引应用市场信息公司SensorTower估计数据称,TikTok(抖音海外版)在iOS和Android平台下载量突破10亿大关. 这也意 ...
- Fluent Bit的下载量达到10亿!
Fluent Bit的创建者Eduardo Silva的项目帖子 云原生计算基金会和Fluent Bit社区很高兴地宣布,Fluent Bit的下载和部署次数已经超过10亿次,迅速达到了一个很少有软件 ...
最新文章
- Java8(jdk1.8)中文档注释处理工具javadoc的环境参量配置及使用方法
- linux数据库服务器的配置与管理,实验七_Linux_MySQL数据库服务器配置与管理
- 嘘,Python 优化提速的 8 个小技巧
- WEB API:语音识别
- C语言课后习题(10)
- Java学习笔记(二)Java基本语法
- CentOS更改yum源与更新系统
- matlab 有源高滤波器,基于MATLAB有源滤波器的研究设计.ppt
- C语言:求不确定科目数的加权平均分
- 程序员专属手机壁纸来了。。。
- 解决 您的安全设置不允许将此应用程序安装到您的计算机上的问题
- 项目构建工具--webpack
- swiper轮播-可支持触摸滑动(整理)
- k8s 安装nfs_kubernetes挂载nfs报错 | 运维笔记
- 在Surface Pro 4上安装Bliss OS
- 【文献阅读】翻译王军武老师的文献--《稠密气固流的连续理论现状回顾》二、第一节 引言
- 实例源码2---基于51单片机的摇摇棒制作
- 8、	高德离线地图开发教程
- 20230614使用360安全卫士的断网急救箱解决不能上网的问题
- 【C语言训练】猴子偷桃