欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

大伙是否记得曾经针对NPM的Typosquatting入侵攻击么?这回它又把目标指向了PyPi

来源:本站整理 作者:佚名 时间:2017-09-22 TAG: 我要投稿

近日,斯洛伐克国家安全局(NBU)在 Python 官方的第三方软件存储库——PyPI 上发现10个恶意病毒木马库。
我们对于 typosquatting 其实并不生疏,上一次相似的进犯是出现在 NPM 渠道,而这一次进犯者又运用了相似的办法将方针对准了 PyPI。
NBU 专家表明,进犯者运用 typosquatting 的办法来上传这些恶意病毒木马库到 PyPI 渠道上,他们上传的恶意病毒木马库的姓名和那些正常的库的姓名十分相似,很容易让人混淆,比如将”urlib” 写成 “urllib”。
当开发者上传一个新库到 PyPi上时,渠道本身并不会对库做任何的安全查看,所以进犯者很容易就可以将库上线。
那些手误打错姓名的开发人员会无意间下载这些恶意病毒木马库,并将其加载到软件的装置脚本中。
脚本中包括恶意病毒木马软件,可是功能无缺
NBU解释道,这些恶意病毒木马库和那些正常姓名的库代码相同,所以它们的功能是相同的,可是在其装置脚本 setup.py 中包括恶意病毒木马代码。
这些恶意病毒木马代码只会搜集被感染主机的信息,比如这些恶意病毒木马库的版别和姓名,那些装置了恶意病毒木马库的用户的姓名,还有计算机的主机名。
这些被搜集的数据,格式就像 “Y:urllib-1.21.1 admin testmachine”,被上传到一个中国的 IP 地址“121.42.217.44:8080″。
恶意病毒木马库上星期就现已被移除了
NBU 的官员上星期联系了 PyPi 管理员,管理员在周六之前就现已从 PyPi 渠道移除了这些恶意病毒木马库,这些恶意病毒木马库姓名如下:
– acqusition (uploaded 2017-06-03 01:58:01, impersonates acquisition)
– apidev-coop (uploaded 2017-06-03 05:16:08, impersonates apidev-coop_cms)
– bzip (uploaded 2017-06-04 07:08:05, impersonates bz2file)
– crypt (uploaded 2017-06-03 08:03:14, impersonates crypto)
– django-server (uploaded 2017-06-02 08:22:23, impersonates django-server-guardian-api)
– pwd (uploaded 2017-06-02 13:12:33, impersonates pwdhash)
– setup-tools (uploaded 2017-06-02 08:54:44, impersonates setuptools)
– telnet (uploaded 2017-06-02 15:35:05, impersonates telnetsrvlib)
– urlib3 (uploaded 2017-06-02 07:09:29, impersonates urllib3)
– urllib (uploaded 2017-06-02 07:03:37, impersonates urllib3)
这些恶意病毒木马代码运用 Python 2.x 版别编写的,它们会在 Python 3.x 版别中报错。用户在调试应用程序时发现了它们。
证据表明,恶意病毒木马库现已被用在正式的软件中
NBU表明,这些恶意病毒木马库在今年6月到9月之间就一向活跃,有证据表明在一些正式版软件中也发现了它们的踪影。
专家建议 Python 开发人员查看他们的软件,看是否也运用了被感染的库,并运用最初安全的库重新编译软件包。
并且,专家建议 Python 开发人员不要运用 pip(一个Python 包装置程序)来装置第三方库,由于 pip 在下载第三方库时不会进行加密签名的验证。
 

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载