斯洛伐克国家安全局(NBU)在 PyPI(Python 的官方第三方软件存储库)中发现了十个恶意软件库。
NBU 专家说,攻击者故意将软件包的名称拼写错误,使其看起来和真的一样,然后上传到 PyPI 中。例如使用“urlib”而不是“urllib”,这样类似的方式等。
PyPI 存储库不执行任何类型的安全检查或审计,因此攻击者向其库上传新模块时并没有什么阻碍,但使用者稍不留神,就会将恶意库加载到其软件的安装脚本中。
专家说,目前发现恶意代码只收集受感染主机的信息,用户的用户名以及用户的计算机主机名。并已将这些恶意软件库全部下架。
下面是十个已被删除的恶意软件库的信息:
– acqusition (uploaded 2017-06-03 01:58:01, impersonates acquisition) – apidev-coop (uploaded 2017-06-03 05:16:08, impersonates apidev-coop_cms) – bzip (uploaded 2017-06-04 07:08:05, impersonates bz2file) – crypt (uploaded 2017-06-03 08:03:14, impersonates crypto) – django-server (uploaded 2017-06-02 08:22:23, impersonates django-server-guardian-api) – pwd (uploaded 2017-06-02 13:12:33, impersonates pwdhash) – setup-tools (uploaded 2017-06-02 08:54:44, impersonates setuptools) – telnet (uploaded 2017-06-02 15:35:05, impersonates telnetsrvlib) – urlib3 (uploaded 2017-06-02 07:09:29, impersonates urllib3) – urllib (uploaded 2017-06-02 07:03:37, impersonates urllib3)
这种利用包存储库传播恶意软件库的行为不是第一次发生。最新的事件涉及到 Node.js 的 npm 存储库,其中有 38 个 JavaScript 模块被删除,有包含用于窃取环境变量的代码。