10 月 23 日消息，安全公司 Checkmarx 發(fā)現(xiàn)，目前有黑客發(fā)起了新一波 PyPI“山寨”惡意軟件包攻擊，黑客主要攻擊目標(biāo)是使用阿里云、亞馬遜 AWS 的用戶。

自今年 9 月以來(lái)，安全公司便監(jiān)測(cè)到有黑客在 PyPI 官方倉(cāng)庫(kù)中“投毒”，上傳一系列惡意軟件包，這些軟件包中的惡意代碼不會(huì)在用戶安裝后就自動(dòng)啟動(dòng)，除非用戶在使用軟件包時(shí)呼起了特定的功能函數(shù)，才會(huì)觸發(fā)。

▲ 圖源 Checkmarx

Checkmarx 認(rèn)為，由于許多安全分析軟件只會(huì)掃描自動(dòng)運(yùn)行的惡意代碼，難以查到此類“只能通過(guò)特定函數(shù)啟動(dòng)惡意代碼”的軟件包。

IT之家從報(bào)告中得知，例如 PyPI 官方倉(cāng)庫(kù)中一款名為 Telethon2 的惡意軟件包，實(shí)際上是“正牌”Telethon 的“山寨版”，后者已被下載超過(guò) 6900 萬(wàn)次。

▲ 圖源 Checkmarx

安全公司發(fā)現(xiàn)，在這款名為“Telethon2”的惡意軟件包中，黑客并非令惡意代碼安裝后就啟動(dòng)，而是通過(guò)在 telethon / client / messages.py 嵌入兩行指令，使得用戶在傳送“信息”時(shí)，才會(huì)啟動(dòng)相關(guān)惡意代碼。

而為了引誘開發(fā)者上當(dāng)，黑客不光使用了模仿域名（Typosquatting）的手段，還讓這些“山寨”軟件包看起來(lái)“相當(dāng)受歡迎”。

由于開發(fā)者在挑選軟件包的過(guò)程，往往會(huì)參考 GitHub 統(tǒng)計(jì)的數(shù)據(jù)，攻擊者刻意將 PyPI 中的“山寨包”鏈接 GitHub 上面不相關(guān)項(xiàng)目中，導(dǎo)致開發(fā)者可能誤以為相關(guān)軟件包受到外界歡迎，從而降低戒心。