https://www.informationsecurity.com.tw/Seminar/2024_TCM/
https://www.informationsecurity.com.tw/Seminar/2024_TCM/

新聞

資安廠商發現 Python 官方程式庫 PyPI 內含多種惡意軟體套件

2022 / 08 / 22
編輯部
資安廠商發現 Python 官方程式庫 PyPI 內含多種惡意軟體套件
資安廠商 Check Point Software 近日發現,廣受 Python 開發者愛用的程式庫 PyPI,遭駭侵者植入多種惡意軟體套件供人下載安裝;用戶如果將之安裝在自己的電腦上,駭侵者即可輕易竊得電腦中的各種機敏資訊,包括登入資訊或 API 金鑰,開發者不可不慎。

Check Point Software 在近日發表的專文中指出,由於 PyPI 可以很容易的透過單行指令來安裝各種軟體套件,非常便捷,因此近來成為駭侵者的攻擊目標。

Check Point Software 說,這類具攻擊的具體手法是,駭侵者上傳一些含有惡意程式碼的套件,並偽裝成安裝者眾多的熱門 Python 套件,以魚目混珠的手法,誘使開發者下載安裝在自己的開發用設備上,駭侵者即可得逞。

Check Point Software 的資安團隊,一共在 PyPI 中發現 10 個含有惡意程式碼的程式套件,分別如下:
  • Ascii2text
  • Pyg-utils
  • Pymocks
  • PyProto2
  • Test-async
  • Free-net-vpn
  • Free-net-vpn2
  • Zlibsrc
  • Browserdiv
  • WinRPCexploit

Check Point Software 指出,近期這類利用惡意程式開發套件,來進行供應鏈攻擊的案例,有愈來愈多的趨勢;發生在本(2022)年 6 月的 Pygrata 攻擊事件,即是駭侵者利用這種手法來竊取用戶 AWS 登入資訊與多種環境變數的案例。

建議開發者在利用 PyPI 這類程式庫安裝套件時,應詳細閱讀文件,確認套件名稱、版本、發行者的真實性,以免誤安裝到惡意程式庫。

本文轉載自TWCERT/CC。