網(wǎng)絡(luò)安全研究人員近日警告，Python包索引（PyPI）倉庫用戶正成為惡意攻擊的目標(biāo)。攻擊者通過偽裝成與“時間”相關(guān)的工具包，實則隱藏了竊取敏感數(shù)據(jù)（如云訪問令牌）的功能。

惡意包種類及下載量

軟件供應(yīng)鏈安全公司ReversingLabs表示，他們發(fā)現(xiàn)了兩組共計20個惡意包，累計下載量超過1.41萬次。具體包及其下載量如下：

• snapshot-photo（2,448次下載）
• time-check-server（316次下載）
• time-check-server-get（178次下載）
• time-server-analysis（144次下載）
• time-server-analyzer（74次下載）
• time-server-test（155次下載）
• time-service-checker（151次下載）
• aclient-sdk（120次下載）
• acloud-client（5,496次下載）
• acloud-clients（198次下載）
• acloud-client-uses（294次下載）
• alicloud-client（622次下載）
• alicloud-client-sdk（206次下載）
• amzclients-sdk（100次下載）
• awscloud-clients-core（206次下載）
• credential-python-sdk（1,155次下載）
• enumer-iam（1,254次下載）
• tclients-sdk（173次下載）
• tcloud-python-sdks（98次下載）
• tcloud-python-test（793次下載）

惡意包的運作機制

第一組惡意包主要用于將數(shù)據(jù)上傳到攻擊者的基礎(chǔ)設(shè)施中，而第二組則包含為阿里云、亞馬遜云服務(wù)及騰訊云等平臺實現(xiàn)云客戶端功能的包。此外，這些包還通過“時間”相關(guān)功能竊取云服務(wù)密鑰。截至本文撰寫時，所有已識別的惡意包均已從PyPI倉庫中移除。

進(jìn)一步分析顯示，其中三個包（acloud-client、enumer-iam和tcloud-python-test）已被列為GitHub項目“accesskey_tools”的依賴項。該項目被復(fù)刻42次，啟動519次，具有一定的流行度。

根據(jù)源代碼提交記錄，tcloud-python-test包于2023年11月8日被引入項目，表明其自那時起便可在PyPI上下載。根據(jù)pepy.tech的統(tǒng)計，該包至今已被下載793次。

供應(yīng)鏈安全威脅日益嚴(yán)峻

這一事件曝光之際，F(xiàn)ortinet FortiGuard Labs表示，他們在PyPI和npm倉庫中發(fā)現(xiàn)了數(shù)千個可疑包，其中一些包嵌入的安裝腳本被設(shè)計為在安裝過程中部署惡意代碼或與外部服務(wù)器通信。

Jenna Wang指出：“可疑URL是潛在惡意包的關(guān)鍵指標(biāo)，它們通常用于下載額外負(fù)載或與命令控制（C&C）服務(wù)器建立通信，從而使攻擊者能夠控制受感染系統(tǒng)。在974個包中，此類URL與數(shù)據(jù)竊取、進(jìn)一步下載惡意軟件及其他惡意行為的風(fēng)險相關(guān)。因此，審查和監(jiān)控包依賴中的外部URL對于防止漏洞利用至關(guān)重要?！?/p>