PyPI 仓库被曝多个 typosquatting 库,可触发供应链攻击

2024-01-12 06:58

本文主要是介绍PyPI 仓库被曝多个 typosquatting 库,可触发供应链攻击,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

 聚焦源代码安全,网罗国内外最新资讯!

编译:奇安信代码卫士

八款下载量超过8万次的 Python 程序包因包含恶意代码而被 PyPI 门户删除,再次说明了软件包仓库如何成为供应链攻击的流行目标。

上周四,JFrog 公司的研究员 Andrey Polkovnichenko、Omer Kaspi 和 Shachar Menashe 指出,“公共软件仓库中缺少审核和自动化安全控制,使得即使是经验不足的攻击者也能够借它传播恶意软件,或者通过 typosquatting (通过输入错误触发攻击,如误植域名等)、依赖混淆或简单的社工攻击传播恶意软件。“

PyPI 是Python 的官方第三方软件仓库,包管理器如pip 将其作为软件包及其依赖关系的默认来源。

这些恶意Python 程序包被指使用 Base64 编码进行混淆,它们是:

  • pytagora(由eonora123上传)

  • pytagora2(由eonora123上传)

  • noblesse(由xin1111上传)

  • genesisbot(由xin1111上传)

  • are(由xin1111上传)

  • suffer(由suffer上传)

  • noblesse2(由suffer上传)

  • noblessev2(由suffer上传)

这些程序包可被滥用于成为更复杂威胁的入口点,使得攻击者能够在目标机器上执行远程代码、收集系统信息、窃取信用卡信息和自动存储在 Chrome 和Edge 浏览器中的密码,甚至窃取 Discord 认证令牌假冒受害者。

PyPI 并非演变为潜在攻击面的唯一软件包仓库,npm 和 RubyGems 中也曾被发现存在恶意程序包,它们可能破坏整个系统或称为进入受害者网络的有价值跳转点。

上个月,Sonatype 和 Vdoo 公司披露了 PyPI 中的 typosquatting程序包,它们下载并执行 pyload shell 脚本,检索第三方密币挖掘器如 T-Rex、ubqminer或 PhoenixMiner,在受害者系统上挖掘以太坊和 Ubiq 密币。

JFrog 公司的首席技术官 Asaf Karas 流行仓库认为,如 PyPI 中不断出现恶意软件包的趋势警醒我们,它们可能导致广泛的供应链攻击。攻击者使用简单的混淆技术就引入恶意软件的情况说明,开发人员必须时刻保持警惕。这是一种系统性威胁,需要在多个层面解决,软件程序包的维护人员和开发人员都涵盖在内。开发人员可采取预防措施如验证库签名等。


推荐阅读

Python 官方软件库 PyPI 遭垃圾软件包洪水攻击

为增强软件供应链安全,NIST 发布《开发者软件验证最低标准指南》

CloudFlare CDNJS 漏洞差点造成大规模的供应链攻击

详细分析PHP源代码后门事件及其供应链安全启示

原文链接

https://thehackernews.com/2021/07/several-malicious-typosquatted-python.html

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~

这篇关于PyPI 仓库被曝多个 typosquatting 库,可触发供应链攻击的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/597119

相关文章

记录每次更新到仓库 —— Git 学习笔记 10

记录每次更新到仓库 文章目录 文件的状态三个区域检查当前文件状态跟踪新文件取消跟踪(un-tracking)文件重新跟踪(re-tracking)文件暂存已修改文件忽略某些文件查看已暂存和未暂存的修改提交更新跳过暂存区删除文件移动文件参考资料 咱们接着很多天以前的 取得Git仓库 这篇文章继续说。 文件的状态 不管是通过哪种方法,现在我们已经有了一个仓库,并从这个仓

取得 Git 仓库 —— Git 学习笔记 04

取得 Git 仓库 —— Git 学习笔记 04 我认为, Git 的学习分为两大块:一是工作区、索引、本地版本库之间的交互;二是本地版本库和远程版本库之间的交互。第一块是基础,第二块是难点。 下面,我们就围绕着第一部分内容来学习,先不考虑远程仓库,只考虑本地仓库。 怎样取得项目的 Git 仓库? 有两种取得 Git 项目仓库的方法。第一种是在本地创建一个新的仓库,第二种是把其他地方的某个

速盾高防cdn是怎么解决网站攻击的?

速盾高防CDN是一种基于云计算技术的网络安全解决方案,可以有效地保护网站免受各种网络攻击的威胁。它通过在全球多个节点部署服务器,将网站内容缓存到这些服务器上,并通过智能路由技术将用户的请求引导到最近的服务器上,以提供更快的访问速度和更好的网络性能。 速盾高防CDN主要采用以下几种方式来解决网站攻击: 分布式拒绝服务攻击(DDoS)防护:DDoS攻击是一种常见的网络攻击手段,攻击者通过向目标网

husky 工具配置代码检查工作流:提交代码至仓库前做代码检查

提示:这篇博客以我前两篇博客作为先修知识,请大家先去看看我前两篇博客 博客指路:前端 ESlint 代码规范及修复代码规范错误-CSDN博客前端 Vue3 项目开发—— ESLint & prettier 配置代码风格-CSDN博客 husky 工具配置代码检查工作流的作用 在工作中,我们经常需要将写好的代码提交至代码仓库 但是由于程序员疏忽而将不规范的代码提交至仓库,显然是不合理的 所

struts2中的json返回指定的多个参数

要返回指定的多个参数,就必须在struts.xml中的配置如下: <action name="goodsType_*" class="goodsTypeAction" method="{1}"> <!-- 查询商品类别信息==分页 --> <result type="json" name="goodsType_findPgae"> <!--在这一行进行指定,其中lis是一个List集合,但

一款支持同一个屏幕界面同时播放多个视频的视频播放软件

GridPlayer 是一款基于 VLC 的免费开源跨平台多视频同步播放工具,支持在一块屏幕上同时播放多个视频。其主要功能包括: 多视频播放:用户可以在一个窗口中同时播放任意数量的视频,数量仅受硬件性能限制。支持多种格式和流媒体:GridPlayer 支持所有由 VLC 支持的视频格式以及流媒体 URL(如 m3u8 链接)。自定义网格布局:用户可以配置播放器的网格布局,以适应不同的观看需求。硬

如何删除不小心上传到git远程仓库中的.idea .iml文件

如果在开始的时候不配置,gitignore文件或者文件配置不正确,初始化上传的时候就会有一些不必要的信息上传上去 如果已经存在了一些文件在git远程仓库中,如。idea,.iml文件等。 首先在项目中定义一个  .gitignore文件,简单的实例如下也可以用idea中的gitignore插件 .DS_Storeclasses/*.settings/target/.classpath

七、Maven继承和聚合关系、及Maven的仓库及查找顺序

1.继承   2.聚合   3.Maven的仓库及查找顺序

C# 如何同时Ping多个IP地址

在C#中,如果需要同时ping多个IP地址,可以采用多线程或异步编程的方式来实现,以便可以同时进行多个ping操作。以下是两种常用的方法: 方法一:使用多线程(Task 或 Thread) 使用Task是更现代和推荐的方式,因为它内置了更好的线程管理和异常处理机制。以下是一个使用Task的示例,展示如何同时ping多个IP地址: using System; using System.Co

企业级镜像仓库Harbor安装

企业级镜像仓库Harbor安装 1. Harbor概述2. Harbor部署2.1. Harbor安装方式2.2. Harbor安装前环境准备2.3. Harbor下载2.4. Harbor安装 3. 基本使用4. 问题处理Harbor修改配置文件后如何生效? 1. Harbor概述 Habor是有VMWare公司开源的容器镜像仓库。事实上,Harbor是在Docker Reg