惡意軟件包潛入PyPI實施供應(yīng)鏈攻擊 開發(fā)者系統(tǒng)成加密礦工

最近發(fā)現(xiàn)，一群加密礦工滲透在PyPI( Python Package Index)，這是一個用Python編程語言創(chuàng)建的軟件代碼倉庫。

與GitHub、npm和RubyGems等其他代碼倉庫類似，PyPI是軟件供應(yīng)鏈的一部分。它提供了一個場所，編碼人員可以上傳軟件包，供開發(fā)人員在構(gòu)建各種應(yīng)用程序、服務(wù)和其他項目時使用。不幸的是，代碼倉庫中的一個惡意軟件包可以被整合到多個不同的項目中，以使項目受到加密者和信息竊取者的破壞并難以修復(fù)。

Sonatype的研究人員在PyPI中發(fā)現(xiàn)了6個不同的惡意軟件包，這些軟件包自4月以來已累計下載近5000次，全部由用戶名“nedog123”上傳。其中包括一個名為“maratlib”的主包，以及其他5個使用maratlib 作為組件的包：maratlib1;matplatlib-plus;mllearnlib;mplatlib learninglib。

這些惡意軟件包中有一些針對錯別字的程序，當(dāng)人們不小心輸入錯誤名字時會抓取的程序。例如，假冒的mplatlib和matplatlib-plus以合法的Python繪圖軟件matplotlib命名。

maratlib惡意Python軟件包

在所有軟件包中，惡意代碼都包含在一個在軟件包安裝期間運行的構(gòu)建腳本中，稱為“setup.py”。此文件從GitHub下載并運行Bash腳本。在研究時發(fā)現(xiàn)它試圖從不再可用的GitHub存儲庫下載Bash腳本 (aza2.sh)。

通過開源情報在GitHub上跟蹤作者別名，發(fā)現(xiàn)該腳本的作用是在受感染的機器上運行一個名為“Ubqminer”的加密礦工。

研究人員還指出，惡意軟件作者用他們自己的地址替換了默認的Kryptex錢包地址，以挖掘Ubiq加密貨幣(UBQ)。在另一個變體中，該腳本包括一個使用GPU功能的不同加密程序，即開源T-Rex，它使用NVIDIA GPU處理器開采以太坊。這些PyPI惡意軟件包已經(jīng)在代碼倉庫中潛伏了幾個月，目標是將開發(fā)人員系統(tǒng)變成加密礦工。

根據(jù)安全人員提示，PyPI中的這些惡意軟件包似乎已被刪除，但尚不清楚這些軟件包中的惡意代碼被應(yīng)用到多少活躍的項目當(dāng)中，并且威脅者還可能以化名再次出現(xiàn)。

Vdoo首席科學(xué)家 Ilya Khivrich 表示，作為一個系統(tǒng)性威脅，這需要多個層面上積極應(yīng)對，包括軟件代碼倉庫的維護者及開發(fā)人員。在開發(fā)人員方面，在CI/CD管道中應(yīng)該增加安全檢測手段，例如驗證庫簽名和使用自動化代碼安全工具掃描項目中的可疑代碼。通常，在此階段利用靜態(tài)代碼檢測工具和SCA可以有效查找源代碼中存在的代碼缺陷，減少惡意代碼及系統(tǒng)漏洞的存在。

開發(fā)人員：惡意軟件的新供應(yīng)鏈目標

通過觀察發(fā)現(xiàn)，惡意軟件入侵代碼倉庫僅是一個新的開始，同時也是軟件供應(yīng)鏈攻擊的新趨勢。

3月份發(fā)現(xiàn)針對Amazon、Lyft、Slack和Zillow等公司的內(nèi)部應(yīng)用程序的惡意軟件包，它們潛伏在npm公共代碼倉庫中并竊取了敏感信息。

同樣在3月，PHP項目發(fā)現(xiàn)攻擊者能夠訪問它的主Git服務(wù)器，上傳兩個惡意提交，包括一個后門。幸運的是，在它們行動前就被發(fā)現(xiàn)了。

1月份，3個惡意軟件包被發(fā)布到npm，這是一個JavaScript開發(fā)人員的代碼倉庫，惡意軟件能夠從Discord用戶那里竊取令牌和其他信息。

同樣是在最近，在Ruby網(wǎng)絡(luò)編程語言的開源軟件包存儲庫和管理器RubyGems中，發(fā)現(xiàn)2個軟件包中含有竊取比特幣的惡意軟件，隨后將其下線。

現(xiàn)代軟件開發(fā)過程的復(fù)雜性及其對大型社區(qū)維護代碼倉庫的依賴，使得開發(fā)人員在無意中將惡意代碼引入到項目當(dāng)中，這將造成很嚴重的影響，很多情況下攻擊者很可能完全接管已開發(fā)的程序或設(shè)備。因此將安全融入到軟件開發(fā)生命周期中并不能停留在說說而已上。

低代碼及開源代碼的出現(xiàn)幫助開發(fā)人員大大提高了開發(fā)效率，但隨之而來的安全隱患也不容小覷。研究顯示，開源正以前所未有的速度產(chǎn)生新的漏洞，但將開源軟件漏洞添加到國家漏洞數(shù)據(jù)庫(NVD)所需的時間非常長，從公開披露到包含平均需要54天。在此期間將使應(yīng)用軟件面臨被攻擊的風(fēng)險。因此在保證提高應(yīng)用程序開發(fā)效率的基礎(chǔ)上，利用安全自動化檢測工具，如靜態(tài)代碼安全檢測(SAST)、SCA、動態(tài)應(yīng)用程序測試(DAST)等手段，減少因代碼安全問題造成的風(fēng)險。

參讀鏈接：

https://www.woocoom.com/b021.html?id=2029e4952dd84aba832c7592806b7fa4

https://threatpost.com/cryptominers-python-supply-chain/167135/