PYPI上數款惡意套件可竊取用戶信用卡資料或是身份驗證權杖

DevOps平臺JFrog的安全研究團隊發現了數個託管在PYPI中的惡意套件，經JFrog迅速回報，這些惡意套件已經全數遭到刪除。JFrog偵測到的惡意套件，包括noblesse和pytagora等系列套件，能夠竊取用戶身份驗證權杖、信用卡資料以及執行遠端程式碼注入等攻擊。

軟體套件儲存庫成了攻擊者的熱門攻擊目標，近期NPM、PYPI和RubyGem等主要儲存庫，都出現遭到攻擊的消息。JFrog提到，開發人員毫無戒心的信任儲存庫，並且從這些來源安裝套件，當惡意套件被意外地允許上傳至儲存庫時，開發人員就可能在無意之間，下載安裝這些惡意套件，使得攻擊者得以在開發者的工作管線成功發動攻擊。

根據Pepy.Tech的資料，JFrog發現的這幾個惡意套件，已經被下載約3萬次，不過目前他們尚未掌握實際影響的資料。這些惡意套件都使用了簡單的混淆技術（Obfuscation），像是使用Base64編碼器來編碼Python文字，或是使用eval函式來將解碼的文字轉為程式碼，官方提到，雖然這些技術可以輕易地騙過靜態分析工具，但是這樣的包裝反而會吸引研究人員的目光，對這些程式碼進行深入研究。

由於這些混淆程式碼存在特定的字串，使得研究人員發現，這些套件使用公共工具python-obfuscator進行處理，其中aryi套件則是使用了permit進行混淆，這表示惡意開發人員嘗試採用不同的混淆方法。

這些惡意套件的目標不同，第1號noblesse系列惡意負載（Payload）能夠竊取通訊軟體Discord的身份驗證權杖，官方表示，這個竊取權杖的負載源自惡名昭彰的dTGPG（Discord Token Grabber Payload Generator），這是一個未公開的負載生成器，但是生成的負載有公開，並且被上傳到GitHub中作為範例。noblesse系列第2號惡意套件，則會竊取瀏覽器自動完成的敏感資料，包含使用者的信用卡以及密碼，noblesse系列第3號惡意套件，則會收集系統資訊，像是IP地址、電腦名稱、Windows授權金鑰資訊、Windows版本和螢幕截圖。

pytagora系列的惡意套件，則會執行遠端程式碼注入，簡單來說，惡意程式碼會嘗試連接一個私有IP的TCP埠口9009，並且執行任何從Socket讀取到的Python程式碼。

用戶應該檢查應用程式的相依項目，當發現本地端安裝了noblesse套件，則可能發生敏感資料洩漏的情況，包括Edge瀏覽器儲存的密碼，以及Chrome瀏覽器所儲存的信用卡，都可能遭到盜用，用戶可以考慮更換。另外，如果安裝的是pytagora套件，官方建議可以使用防毒軟體掃描，或是採取其他惡意軟體檢查步驟。