近半年來，一個(gè)未知的威脅行為者一直在向Python包索引（PyPI）資源庫發(fā)布typosquat包，其目的是發(fā)布能夠獲得持久性、竊取敏感數(shù)據(jù)和訪問加密貨幣錢包以獲取經(jīng)濟(jì)利益的惡意軟件。

Checkmarx 在一份新報(bào)告中說，這 27 個(gè)軟件包偽裝成流行的合法 Python 庫，吸引了數(shù)千次下載。大部分下載來自美國、中國、法國、德國、俄羅斯、愛爾蘭、新加坡、英國和日本。

該軟件供應(yīng)鏈安全公司說：這次攻擊的一個(gè)顯著特點(diǎn)是利用隱寫術(shù)將惡意有效載荷隱藏在一個(gè)圖像文件中，增加了攻擊的隱蔽性。

這些軟件包包括 pyefflorer、pyminor、pyowler、pystallerer、pystob 和 pywool，其中最后一個(gè)軟件包于 2023 年 5 月 13 日被植入。

這些軟件包的一個(gè)共同點(diǎn)是使用 setup.py 腳本包含對(duì)其他惡意軟件包（即 pystob 和 pywool）的引用，這些軟件包部署了一個(gè) Visual Basic 腳本（VBScript），以便下載和執(zhí)行一個(gè)名為 "Runtime.exe "的文件，從而實(shí)現(xiàn)在主機(jī)上的持久化。

二進(jìn)制文件中嵌入了一個(gè)編譯文件，能夠從網(wǎng)絡(luò)瀏覽器、加密貨幣錢包和其他應(yīng)用程序中收集信息。

Checkmarx 觀察到的另一種攻擊鏈將可執(zhí)行代碼隱藏在 PNG 圖像（"uwu.png"）中，隨后解碼并運(yùn)行該圖像，以提取受影響系統(tǒng)的公共 IP 地址和通用唯一標(biāo)識(shí)符（UUID）。

特別是 Pystob 和 Pywool，它們打著 API 管理工具的幌子發(fā)布，只是為了將數(shù)據(jù)外泄到 Discord webhook，并試圖通過將 VBS 文件放置在 Windows 啟動(dòng)文件夾中來保持持久性。

Checkmarx表示：這一活動(dòng)再次提醒我們，當(dāng)今的數(shù)字環(huán)境中存在著無處不在的威脅，尤其是在以協(xié)作和開放代碼交換為基礎(chǔ)的領(lǐng)域。

針對(duì)軟件供應(yīng)鏈的持續(xù)攻擊浪潮也促使美國政府在本月發(fā)布了新的指南，要求軟件開發(fā)商和供應(yīng)商維護(hù)軟件安全并提高安全意識(shí)。

網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）、國家安全局（NSA）和國家情報(bào)局局長辦公室（ODNI）表示：鑒于近期備受關(guān)注的軟件供應(yīng)鏈?zhǔn)录?，建議采購組織在其采購決策中指定供應(yīng)鏈風(fēng)險(xiǎn)評(píng)估。

軟件開發(fā)商和供應(yīng)商應(yīng)改進(jìn)其軟件開發(fā)流程，不僅要降低對(duì)員工和股東的傷害風(fēng)險(xiǎn)，還要降低對(duì)用戶的傷害風(fēng)險(xiǎn)。

參考鏈接：https://thehackernews.com/2023/11/27-malicious-pypi-packages-with.html