[[441678]]

已發(fā)現(xiàn)托管在Python軟件包索引(PyPI)代碼庫中的三個惡意軟件包，它們共計被下載12,000次——并且可能被偷偷安裝在各種應(yīng)用程序中。

獨(dú)立研究員安德魯·斯科特(Andrew Scott)在對PyPI中包含的代碼進(jìn)行近乎全站范圍的分析時發(fā)現(xiàn)了這些包，PyPI是用Python編程語言創(chuàng)建的軟件代碼存儲庫。與GitHub、npm和RubyGems一樣，PyPI允許編碼人員上傳軟件包，供開發(fā)人員用于構(gòu)建各種應(yīng)用程序、服務(wù)和其他項目。

不幸的是，一個惡意包可以被安裝到多個不同的項目中——用加密礦工、信息竊程序等感染它們，并使修復(fù)成為一個復(fù)雜的過程。

在本例中，Scott發(fā)現(xiàn)了一個包含已知木馬惡意軟件和兩個信息竊取程序的惡意軟件包。

他說，這個木馬包被稱為“aws-login0tool”，一旦安裝該軟件包，它就會獲取一個有效載荷可執(zhí)行文件，結(jié)果證明它是一個已知的木馬。

Scott在周日的一篇帖子中解釋說：“我發(fā)現(xiàn)這個包是因為它在我查看setup.py時的多個文本搜索中被標(biāo)記，因為這是Python包中惡意代碼最常見的位置之一，在安裝時可以在那里執(zhí)行任意代碼。”“具體來說，我是通過查找import urllib.request發(fā)現(xiàn)這一點(diǎn)的，因為它通常用于竊取數(shù)據(jù)或下載惡意文件，它也是由from subprocess import Popen觸發(fā)的，這有點(diǎn)可疑，因為大多數(shù)包不需要執(zhí)行任意命令行代碼。”

Scott還通過查看import urllib.request字符串確定了另外兩個惡意軟件包，這兩個包都是為數(shù)據(jù)滲漏而構(gòu)建的。

這兩個名為“dpp-client”和“dpp-client1234I”的文件是由同一個用戶在二月份上傳的。在安裝過程中，他們收集有關(guān)環(huán)境和文件列表的詳細(xì)信息，并且似乎“專門尋找與Apache Mesos相關(guān)的文件”，Scott說，這是一個管理計算機(jī)集群的開源項目。據(jù)研究人員稱，一旦收集到信息，就會將其發(fā)送到一個未知的web服務(wù)。

Python安全團(tuán)隊在12月10日收到通知后刪除了已識別的包，但由于這些項目在刪除之前就被導(dǎo)入了，所有三個包都繼續(xù)存在。

Scott表示，該木馬程序包于12月1日首次添加到PyPI中，隨后被下載了近600次。至于數(shù)據(jù)竊取者，dpp-client包下載量超過10000次，其中上個月下載量600+;dpp-client1234已被下載約1,500次。并且這兩個軟件包的源代碼URL都模仿了現(xiàn)有的流行庫，“所以任何人在PyPI中瀏覽軟件包或分析庫的流行程度時，都會看到大量的GitHub星星和分支，這代表了良好的聲譽(yù)。”

軟件供應(yīng)鏈已成為一種越來越流行的惡意軟件分發(fā)方法。例如，上周在Node.js軟件包管理器(npm)代碼庫中發(fā)現(xiàn)了一系列旨在收集Discord令牌的惡意包。這些軟件包可以用來接管毫無戒心的用戶的帳戶和服務(wù)器。

本文翻譯自：https://threatpost.com/malicious-pypi-code-packages/176971/如若轉(zhuǎn)載，請注明原文地址。