还记得针对NPM的Typosquatting攻击吗?这次它又瞄准了PyPi

近日,斯洛伐克国家安全局(NBU)在 Python 官方的第三方软件存储库——PyPI 上发现10个恶意库。

我们对于 typosquatting 其实并不陌生,上一次类似的攻击是出现在 NPM 平台,而这一次攻击者又使用了类似的方法将目标对准了 PyPI。

NBU 专家表示,攻击者使用 typosquatting 的方法来上传这些恶意库到 PyPI 平台上,他们上传的恶意库的名字和那些正常的库的名字非常相似,很容易让人混淆,比如将”urlib” 写成 “urllib”。

当开发者上传一个新库到 PyPi上时,平台本身并不会对库做任何的安全检查,所以攻击者很容易就可以将库上线。

那些手误打错名字的开发人员会无意间下载这些恶意库,并将其加载到软件的安装脚本中。

脚本中包含恶意软件,但是功能完好

NBU解释道,这些恶意库和那些正常名字的库代码相同,所以它们的功能是相同的,但是在其安装脚本 setup.py 中包含恶意代码。

这些恶意代码只会收集被感染主机的信息,比如这些恶意库的版本和名字,那些安装了恶意库的用户的名字,还有计算机的主机名。

这些被收集的数据,格式就像 “Y:urllib-1.21.1 admin testmachine”,被上传到一个中国的 IP 地址“121.42.217.44:8080”。

恶意库上周就已经被移除了

NBU 的官员上周联系了 PyPi 管理员,管理员在周六之前就已经从 PyPi 平台移除了这些恶意库,这些恶意库名字如下:

acqusition (uploaded 2017-06-03 01:58:01, impersonates acquisition) – apidev-coop (uploaded 2017-06-03 05:16:08, impersonates apidev-coop_cms) – bzip (uploaded 2017-06-04 07:08:05, impersonates bz2file) – crypt (uploaded 2017-06-03 08:03:14, impersonates crypto) – django-server (uploaded 2017-06-02 08:22:23, impersonates django-server-guardian-api) – pwd (uploaded 2017-06-02 13:12:33, impersonates pwdhash) – setup-tools (uploaded 2017-06-02 08:54:44, impersonates setuptools) – telnet (uploaded 2017-06-02 15:35:05, impersonates telnetsrvlib) – urlib3 (uploaded 2017-06-02 07:09:29, impersonates urllib3) – urllib (uploaded 2017-06-02 07:03:37, impersonates urllib3)

这些恶意代码使用 Python 2.x 版本编写的,它们会在 Python 3.x 版本中报错。用户在调试应用程序时发现了它们。

证据表明,恶意库已经被用在正式的软件中

NBU表示,这些恶意库在今年6月到9月之间就一直活跃,有证据表明在一些正式版软件中也发现了它们的踪影。

专家建议 Python 开发人员检查他们的软件,看是否也使用了被感染的库,并使用最初安全的库重新编译软件包。

并且,专家建议 Python 开发人员不要使用 pip(一个Python 包安装程序)来安装第三方库,因为 pip 在下载第三方库时不会进行加密签名的验证。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-09-22

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

记一次服务器被入侵的调查取证

*本文原创作者:fish1983,本文属FreeBuf原创奖励计划,未经许可禁止转载

8821
来自专栏角落的白板报

【52ABP实战教程】0.1-- Devops如何用VSTS持续集成到Github仓库!

“ 工欲善其事,必先利其器。磨刀不误砍柴工!” 管理工具会VSTS。 代码管理会用GITHUB。 服务器会用Azure。 所有的东西都是利用现有服...

2899
来自专栏农夫安全

Linux下Arp欺骗攻击的另类应用之屌丝泡妞记

本文为小编在新东文章整理中阅读后发现不错,如有侵权联系作者删除 EveryNote 真是个好动西,跨平台的笔记本工具。好到,平时记录一些自己的东西,都懒得在写东...

4028
来自专栏Seebug漏洞平台

摄像头漏洞挖掘入门教程(固件篇)

据 IT 研究与顾问咨询公司 Gartner 预测[1],2017 年全球物联网设备数量将达到 84 亿,比 2016 年的 64 亿增长31%,而全球人口数量...

3421
来自专栏FreeBuf

“白象”APT组织近期动态

“白象”又名“Patchwork”,“摩诃草”,疑似来自南亚某国,自2012年以来持续针对中国、巴基斯坦等国进行网络攻击,长期窃取目标国家的科研、军事资料。与其...

1924
来自专栏FreeBuf

打造刀郎安全PHP系统

有一段时间没有露面的,现在出来和各位打个招呼,今天给大家带来话题是打造安全php系统,web安全防不胜防,那么我们怎么尽可能的做到安全啦?

1495
来自专栏SAP最佳业务实践

SAP最佳业务实践:FI–应收帐款(157)-11 F-32手动清算客户帐户中的未清项目

4.12 F-32手动清算客户帐户中的未清项目 清算未清的客户项目。例如,如果要清算的项目余额不为零,则可以创建多付/付款不足的剩余项目。 客户帐户中的未清项...

4178
来自专栏FreeBuf

更适合作为主系统使用的Parrot Security简介

Parrot 是一个基于Debian的专注于渗透测试和隐私保护的Linux发行版,但是更加方便日常使用,有贴心的使用体验,丰富的工具,更注重隐私保护。 The...

8505
来自专栏上善若水

Emacs001学用Emacs之入门:关于配置文件

编辑器是我们经常要打交道的工具,工欲善其事,必先利其器。每一个领域都有专用的好的工具,比如android开发用android sduio, 我先用emacs填...

4044
来自专栏腾讯技术工程官方号的专栏

你不知道的Android SDK安全测试

image.png 作者介绍:anglia,2014年加入腾讯TEG,一直致力于信鸽和MTA两款产品的移动终端 引言 作为Android手机用户中的一枚残粉...

2735

扫码关注云+社区

领取腾讯云代金券