發布單位:TWCERT/CC
更新日期:2022-08-18
點閱次數:1404
資安廠商 Check Point 近日發現,廣受 Python 開發者愛用的程式庫 PyPI,遭駭侵者植入多種惡意軟體套件供人下載安裝;用戶如果將之安裝在自己的電腦上,駭侵者即可輕易竊得電腦中的各種機敏資訊,包括登入資訊或 API 金鑰,開發者不可不慎。
Check Point 在近日發表的專文中指出,由於 PyPI 可以很容易的透過單行指令來安裝各種軟體套件,非常便捷,因此近來成為駭侵者的攻擊目標。
Check Point 說,這類具攻擊的具體手法是,駭侵者上傳一些含有惡意程式碼的套件,並偽裝成安裝者眾多的熱門 Python 套件,以魚目混珠的手法,誘使開發者下載安裝在自己的開發用設備上,駭侵者即可得逞。
Check Point 的資安團隊,一共在 PyPI 中發現 10 個含有惡意程式碼的程式套件,分別如下:
Ascii2text
Pyg-utils
Pymocks
PyProto2
Test-async
Free-net-vpn
Free-net-vpn2
Zlibsrc
Browserdiv
WinRPCexploit
Check Point 指出,近期這類利用惡意程式開發套件,來進行供應鏈攻擊的案例,有愈來愈多的趨勢;發生在本(2022)年 6 月的 Pygrata 攻擊事件,即是駭侵者利用這種手法來竊取用戶 AWS 登入資訊與多種環境變數的案例。
建議開發者在利用 PyPI 這類程式庫安裝套件時,應詳細閱讀文件,確認套件名稱、版本、發行者的真實性,以免誤安裝到惡意程式庫。
相關連結
CloudGuard Spectral detects several malicious packages on PyPI – the official software repository fo
PyPi python packages caught sending stolen AWS keys to unsecured sites