安全公司:黑客正通过山寨软件包,对阿里云及亚马逊用户进行攻击
自今年 9 月以来,安全公司便监测到有黑客在 PyPI 官方仓库中“投毒”,上传一系列恶意软件包,这些软件包中的恶意代码不会在用户安装后就自动启动,除非用户在使用软件包时呼起了特定的功能函数,才会触发。
▲ 图源Checkmarx
Checkmarx 认为,由于许多安全分析软件只会扫描自动运行的恶意代码,难以查到此类“只能通过特定函数启动恶意代码”的软件包。
IT之家从报告中得知,例如 PyPI 官方仓库中一款名为 Telethon2 的恶意软件包,实际上是“正牌”Telethon 的“山寨版”,后者已被下载超过6900万次。
▲ 图源 Checkmarx
安全公司发现,在这款名为“Telethon2”的恶意软件包中,黑客并非令恶意代码安装后就启动,而是通过在 telethon / client / messages.py 嵌入两行指令,使得用户在传送“信息”时,才会启动相关恶意代码。
而为了引诱开发者上当,黑客不光使用了模仿域名(Typosquatting)的手段,还让这些“山寨”软件包看起来“相当受欢迎”。
由于开发者在挑选软件包的过程,往往会参考 GitHub 统计的数据,攻击者刻意将 PyPI 中的“山寨包”链接 GitHub 上面不相关项目中,导致开发者可能误以为相关软件包受到外界欢迎,从而降低戒心。
免责声明:本文为转载,非本网原创内容,不代表本网观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。