DevOps平臺JFrog的安全研究團隊發現了數個託管在PYPI中的惡意套件,經JFrog迅速回報,這些惡意套件已經全數遭到刪除。JFrog偵測到的惡意套件,包括noblesse和pytagora等系列套件,能夠竊取用戶身份驗證權杖、信用卡資料以及執行遠端程式碼注入等攻擊。

軟體套件儲存庫成了攻擊者的熱門攻擊目標,近期NPM、PYPI和RubyGem等主要儲存庫,都出現遭到攻擊的消息。JFrog提到,開發人員毫無戒心的信任儲存庫,並且從這些來源安裝套件,當惡意套件被意外地允許上傳至儲存庫時,開發人員就可能在無意之間,下載安裝這些惡意套件,使得攻擊者得以在開發者的工作管線成功發動攻擊。

根據Pepy.Tech的資料,JFrog發現的這幾個惡意套件,已經被下載約3萬次,不過目前他們尚未掌握實際影響的資料。這些惡意套件都使用了簡單的混淆技術(Obfuscation),像是使用Base64編碼器來編碼Python文字,或是使用eval函式來將解碼的文字轉為程式碼,官方提到,雖然這些技術可以輕易地騙過靜態分析工具,但是這樣的包裝反而會吸引研究人員的目光,對這些程式碼進行深入研究。

由於這些混淆程式碼存在特定的字串,使得研究人員發現,這些套件使用公共工具python-obfuscator進行處理,其中aryi套件則是使用了permit進行混淆,這表示惡意開發人員嘗試採用不同的混淆方法。

這些惡意套件的目標不同,第1號noblesse系列惡意負載(Payload)能夠竊取通訊軟體Discord的身份驗證權杖,官方表示,這個竊取權杖的負載源自惡名昭彰的dTGPG(Discord Token Grabber Payload Generator),這是一個未公開的負載生成器,但是生成的負載有公開,並且被上傳到GitHub中作為範例。noblesse系列第2號惡意套件,則會竊取瀏覽器自動完成的敏感資料,包含使用者的信用卡以及密碼,noblesse系列第3號惡意套件,則會收集系統資訊,像是IP地址、電腦名稱、Windows授權金鑰資訊、Windows版本和螢幕截圖。

pytagora系列的惡意套件,則會執行遠端程式碼注入,簡單來說,惡意程式碼會嘗試連接一個私有IP的TCP埠口9009,並且執行任何從Socket讀取到的Python程式碼。

用戶應該檢查應用程式的相依項目,當發現本地端安裝了noblesse套件,則可能發生敏感資料洩漏的情況,包括Edge瀏覽器儲存的密碼,以及Chrome瀏覽器所儲存的信用卡,都可能遭到盜用,用戶可以考慮更換。另外,如果安裝的是pytagora套件,官方建議可以使用防毒軟體掃描,或是採取其他惡意軟體檢查步驟。


熱門新聞

Advertisement