OSCS发现PyPI官方仓库遭遇150+恶意包疯狂投毒

一、事件简述

2022 年 06 月 23 日,OSCS 开源安全社区监测发现 PyPI 官方仓库被攻击者上传了agoric-sdk,datashare,datadog-agent等150+个恶意钓鱼包,OSCS官方提醒广大开发者关注。

PyPI 是 Python 的包管理工具,提供了对第三方 Python 包的查找、下载、安装、卸载等功能。攻击者mega707通过模仿agoric,datadog等知名软件包进行钓鱼,当用户安装攻击者的恶意包时,攻击者可窃取用户信息,环境地址等敏感信息上传至指定服务器。本次投毒的代码虽然没有执行恶意的逻辑,但大批量进行投毒测试是一种非常恶劣的行为。

二、 投毒分析

恶意包通过如下过程进行攻击:

datadog(云监控厂商)官方分别在 GitHub 上提供了仓库名称为datadog-agent的开源代码,以及在 PyPI 上提供了名称为datadog安装包。

当用户安装监控软件 datadog 时,容易不区分来源下载到攻击者上传的名为 datadog-agent 的Python包(官方 Python 包名称为 datadog )

OSCS发现PyPI官方仓库遭遇150+恶意包疯狂投毒

(攻击者上传 datadog 相似名称包的截图)

恶意代码安装时会将用户名和安装路径,系统名称上传到远程服务器。

OSCS发现PyPI官方仓库遭遇150+恶意包疯狂投毒

(恶意代码片段)

OSCS 开源安全社区查询 datadog-agent 包的下载数量,发现在上传后仅6小时就有 225次 的下载量,攻击者 mega707一共上传了 150+ 个钓鱼包(截止到6月27日)。

OSCS发现PyPI官方仓库遭遇150+恶意包疯狂投毒

进行代码溯源发现钓鱼包使用的是如下地址的代码

https://github.com/007divyachawla/python-dependency-confusion-attack

OSCS 开源安全社区建议广大用户做好资产自查以及预防工作,以免遭受黑客攻击。

四、修复建议

OSCS 开源安全社区建议使用 Python 的用户时排查 Python 环境是否安装恶意钓鱼包,避免遭受损失,详细名单见附录

五、时间线

6月6日,攻击者注册 pip 账号 mega707

6月23日,攻击者上传 93 个恶意 Python 包

6月23日,OSCS 监测到本次恶意 Python 包投毒行为

6月27日,OSCS 检测发现这些恶意的Python包数量增加到了150+个。

(0)
上一篇 2023年8月9日 下午6:14
下一篇 2023年8月9日 下午6:23

相关推荐

  • 差点引爆全球的核弹,深度分析XZ-Utils供应链后门投毒事件

    处心积虑的投毒者蛰伏三年多,精心选择对象,通过复杂的攻击手法、专业的技战术,一步步支起一张大网,企图掌控全球主流linux发行版,一旦成功他将可以随意侵入全球绝大多数的服务器,这将是足以引爆全球的核弹危机。所幸由于复杂度过高以及投毒者的疏忽,事件被及早发现,没有造成过大的现实危害。但此次事件再次凸显出开源软件生态的脆弱性,本次事件仍可能只是冰山下的一角。墨菲…

    2024年4月1日
    0
  • 小心白蛇!PyPI仓库被持续投放White Snake后门组件

    背景 墨菲安全实验室在持续监测开源软件仓库中的投毒行为,4 月 14 日起陆续发现至少 41 个包含白蛇(White Snake)后门的 Python 包被发布到 PyPI 仓库,目前相关的后门包仍在持续发布。 事件简述 白蛇 (WhiteSnake)是在今年 2 月份开始持续活跃、以信息窃取为目的的后门软件,其通过 telegram 等渠道进行售卖,按照不…

    2023年8月9日
    0
  • 首起针对国内金融企业的开源组件投毒攻击事件

    简述 2023年8月9日,墨菲监控到用户名为 snugglejack_org (邮件地址:SnuggleBearrxx@hotmail.com)的用户发布到 NPM 仓库中的 ws-paso-jssdk 组件包具有发向 https://ql.rustdesk[.]net 的可疑流量,经过确认该组件包携带远控脚本,从攻击者可控的 C2 服务器接收并执行系统命令…

    2023年8月18日
    0
  • CuteBoi:超过 1200 个 NPM 包加入挖矿逻辑

    事件简述 近日,checkmarx研究人员公开了一起涉及众多包的NPM软件供应链攻击事件。事件最早可以追溯到 2021年12月,攻击者投放了1200多个包含混淆加密的恶意 NPM ,这些包拥有相同的挖矿脚本(eazyminer),该脚本的目的是利用如 Database和 Web 等所在服务器的机器闲置资源进行挖矿。 攻击事件分析 攻击手法 CuteBoi 主…

    2023年8月9日
    0
  • shaikhyaser在NPM 仓库中投放67个恶意包

    一、事件简述: 7 月 16 日 ,OSCS 安全社区监测到shaikhyaser一天内在NPM仓库中不间断投放了十多个组件包,这些组件包都包含恶意行为。截止到21日,该用户已向 NPM 仓库投放了 67个不同版本的的恶意组件包,这些包也在代码中注明了该用户的邮箱,推测是hackerone中的用户。 这些恶意包的攻击方式相同,下面来分析其攻击手法。 二、 手…

    2023年8月9日
    0