共计 1936 个字符,预计需要花费 5 分钟才能阅读完成。
据 Jfrog 科技博客报道,在 PyPI 存储库中发现几个恶意代码,攻击者试图植入后门、窃取信用卡信息、窃取浏览器敏感数据、截屏并上传到指定地址。相干恶意代码在从 PyPI 网站删除之前已被下载 3 万次,腾讯平安专家发现国内局部镜像库尚存在这些恶意代码,腾讯平安专家建议软件开发人员从 PyPI 代码库下载资源时,留神进行平安审核,防止将恶意代码装置到本人的开发环境中。
事件背景
近年来,PyPI、GitHub 等软件存储库屡次曝出软件供应链攻打事件:攻击者将内置后门的代码上传到公共存储库,其余开发人员如果不留神对代码进行平安审核,就可能将无害代码利用到本人的开发环境,继而在散发本人开发的软件时,将恶意程序流传给最终用户。
有问题的 Python 包,被发现应用 Base64 编码进行了混同:
• pytagora (uploaded by leonora123)
• pytagora2 (uploaded by leonora123)
• noblesse (uploaded by xin1111)
• genesisbot (uploaded by xin1111)
• are (uploaded by xin1111)
• suffer (uploaded by suffer)
• noblesse2 (uploaded by suffer)
• noblessev2 (uploaded by suffer)
PyPI 是 Python Package Index 的缩写,是 Python 的官网第三方软件存储库,诸如 pip 之类的包管理器实用程序依赖它作为包及其依赖项的默认源。将恶意代码上传到官网存储库,会导致依赖这些源(或镜像源)部署开发环境的软件开发者在无心中将恶意代码流传进来。从而形成典型的软件供应链攻打。
据理解,PyPI、Github 及其他公共代码存储库自身并不对代码内容进行审核,任何开发人员均可注册,并上传代码。这种机制相似于其余社交媒体平台,平台方并不对内容安全性负责。
腾讯平安专家建议软件开发人员在应用 PyPI、Github 等公共代码库分享的代码之前,对代码内容进行审阅,防止装置恶意代码。腾讯平安已将上述存在恶意代码的文件拉黑,帮忙软件开发人员检测危险。
歹意样本剖析:
恶意代码应用 base64 形式进行编码保留,次要为暗藏歹意后门相应性能。
下图中的后门代码,试图连贯 172.16.60.80:9009,而后执行从 socket 中读取的 Python 代码。
恶意代码通过查问 sqlite 数据库窃取 Chrome 保留的敏感信息,进一步获取浏览器中保留的所有账号和登录明码。
对电脑屏幕截屏窃取敏感信息。
将偷盗的上述敏感数据上传到如下接口地址:
hxxps://discordapp.com/api/webhooks/725066562536472720/dj6bPPENAE5SxFzMRB6m7FEPwIbrWkH_5PlSR6RG99pY73wjJ9dVoZTkOrvOQ04cZybR
腾讯平安解决方案:
PyPI 恶意代码包威逼数据已退出腾讯平安威逼情报数据库,赋能给腾讯全系列平安产品,客户能够通过订阅腾讯平安威逼情报产品,让全网安全设备同步具备相应的威逼检测、进攻、阻断能力。举荐政企客户在私有云中部署腾讯云防火墙、腾讯主机平安(云镜)等平安产品检测进攻相干威逼。
腾讯主机平安(云镜)反对对 PyPI 恶意代码包落地文件进行检测革除,客户可登录腾讯云 -> 主机平安控制台,查看病毒木马告警信息,将歹意木马一键隔离或删除。举荐政企客户通过腾讯主机平安的破绽治理、基线治理性能对网络资产进行安全漏洞和弱口令检测。
腾讯 iOA、腾讯电脑管家已反对查杀拦挡相干恶意软件包下载。
公有云客户可通过旁路部署腾讯高级威逼检测零碎(御界)进行流量检测剖析,腾讯高级威逼检测零碎(御界)已反对对政企内网用户下载相干歹意文件及歹意后门窃取敏感信息回传等流动进行检测。
政企客户可通过旁路部署腾讯天幕(NIPS)实时拦挡通过 PyPI 代码库投放的后门连贯近程服务器,彻底封堵威逼流量。腾讯天幕(NIPS)基于腾讯自研平安算力算法 PaaS 劣势,造成具备万亿级海量样本、毫秒级响应、主动智能、平安可视化等能力的网络边界协同防护体系。
IOCs
MD5
453ddb774d66e75c9b65b68306957ef8
253325d92666c6bb1160780ed85705a5
a61b6c3551d91b1e08a6daf843bcc3ab
5274c20eda8a905784a85d898a038dde
参考资料:
https://jfrog.com/blog/malici…
https://www.theregister.com/2…
https://thehackernews.com/202…