一名安全研究人员发现,从官方Python存储库下载了大约5000次的假冒包中包含的密码可以在受感染的机器上安装加密挖掘软件。
安全公司Sonatype的研究员Ax Sharma说,这些恶意程序包可以在PyPI存储库中找到,它们在很多情况下使用的名字都模仿了该存储库中已经存在的合法且经常被广泛使用的程序包报道.所谓的typosquatting攻击成功的原因是目标不小心输入了一个名称,例如输入“mplatlib”或“maratlib”而不是合法和流行的包matplotlib.
夏尔马说,他发现了6个安装加密软件的软件包,这些软件将利用受感染计算机的资源挖掘加密货币,并将其存入攻击者的钱包。这六篇文章都是由使用PyPI用户名的人发布的nedog123在某些情况下,早在4月。软件包和下载编号为:
- maratlib: 2371
- maratlib1: 379
- matplatlib-plus: 913
- mllearnlib: 305
- mplatlib: 318
- learninglib: 626
这些恶意代码包含在每个软件包的setup.py文件中。它会导致受感染的计算机使用ubqminer或霸王龙Cryptominer挖掘数字货币并将其存入以下地址:0 x510aec7f266557b7de753231820571b13eb31b57.
PyPI一直一个经常虐待 存储库自2016年以来,一名大学生欺骗了1.7万名程序员,让他们运行他发布在网站上的粗略脚本。并不是说PyPI比其他存储库被滥用得更多——去年,包从这里被下载了数千次RubyGems安装了试图拦截比特币支付的恶意软件。在此之前的两年,有人对NPM托管的一个拥有200万用户的代码库进行了后门操作。Sonatype已经跟踪了超过12000个恶意NPM包自2019年以来。
很容易让人认为,在这些事件中统计的相当一部分下载是自动完成的,从未导致计算机被感染,但上述大学生的实验却表明了相反的观点。他的伪造Python模块在1.7万多个独立域名上被执行了4.5万多次,其中一些域名属于美国政府和军事组织。这种滥交从来都不是个好主意,但今后应该被严格禁止。
你必须登录或创建帐户置评。