OSCS发现PyPI官方仓库遭遇150+恶意包疯狂投毒

一、事件简述

2022 年 06 月 23 日,OSCS 开源安全社区监测发现 PyPI 官方仓库被攻击者上传了agoric-sdk,datashare,datadog-agent等150+个恶意钓鱼包,OSCS官方提醒广大开发者关注。

PyPI 是 Python 的包管理工具,提供了对第三方 Python 包的查找、下载、安装、卸载等功能。攻击者mega707通过模仿agoric,datadog等知名软件包进行钓鱼,当用户安装攻击者的恶意包时,攻击者可窃取用户信息,环境地址等敏感信息上传至指定服务器。本次投毒的代码虽然没有执行恶意的逻辑,但大批量进行投毒测试是一种非常恶劣的行为。

二、 投毒分析

恶意包通过如下过程进行攻击:

datadog(云监控厂商)官方分别在 GitHub 上提供了仓库名称为datadog-agent的开源代码,以及在 PyPI 上提供了名称为datadog安装包。

当用户安装监控软件 datadog 时,容易不区分来源下载到攻击者上传的名为 datadog-agent 的Python包(官方 Python 包名称为 datadog )

OSCS发现PyPI官方仓库遭遇150+恶意包疯狂投毒

(攻击者上传 datadog 相似名称包的截图)

恶意代码安装时会将用户名和安装路径,系统名称上传到远程服务器。

OSCS发现PyPI官方仓库遭遇150+恶意包疯狂投毒

(恶意代码片段)

OSCS 开源安全社区查询 datadog-agent 包的下载数量,发现在上传后仅6小时就有 225次 的下载量,攻击者 mega707一共上传了 150+ 个钓鱼包(截止到6月27日)。

OSCS发现PyPI官方仓库遭遇150+恶意包疯狂投毒

进行代码溯源发现钓鱼包使用的是如下地址的代码

https://github.com/007divyachawla/python-dependency-confusion-attack

OSCS 开源安全社区建议广大用户做好资产自查以及预防工作,以免遭受黑客攻击。

四、修复建议

OSCS 开源安全社区建议使用 Python 的用户时排查 Python 环境是否安装恶意钓鱼包,避免遭受损失,详细名单见附录

五、时间线

6月6日,攻击者注册 pip 账号 mega707

6月23日,攻击者上传 93 个恶意 Python 包

6月23日,OSCS 监测到本次恶意 Python 包投毒行为

6月27日,OSCS 检测发现这些恶意的Python包数量增加到了150+个。

六、了解更多

1、免费使用 OSCS 的情报订阅服务

OSCS (开源软件供应链安全社区)会第一时间发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息,社区用户可通过企微、钉钉、飞书机器人等方式订阅情报信息,具体订阅方式详见:https://www.oscs1024.com/docs/vuln-warning/intro/

OSCS发现PyPI官方仓库遭遇150+恶意包疯狂投毒
OSCS发现PyPI官方仓库遭遇150+恶意包疯狂投毒

2、使用墨菲安全的 IDE 插件帮您快速检测代码安全

在 Jetbrains IDE 插件市场搜索 “murphysec” 安装检测插件,一键检测一键修复

OSCS发现PyPI官方仓库遭遇150+恶意包疯狂投毒

3、其他

社区官网:https://www.oscs1024.com

相关文档:https://www.oscs1024.com/docs/oscs/

开源项目:https://github.com/murphysecurity/murphysec

七、附录(本次投毒钓鱼包名称)

附录(恶意软件包)

发布者:墨菲安全,转发请注明出处:https://www.murphysec.com/blog/poisoning-analysis/4304.html

(2)
上一篇 2023年1月4日 18:41
下一篇 2023年1月4日 18:46

相关推荐

  • CuteBoi:超过 1200 个 NPM 包加入挖矿逻辑

    事件简述 近日,checkmarx研究人员公开了一起涉及众多包的NPM软件供应链攻击事件。事件最早可以追溯到 2021年12月,攻击者投放了1200多个包含混淆加密的恶意 NPM ,这些包拥有相同的挖矿脚本(eazyminer),该脚本的目的是利用如 Database和 Web 等所在服务器的机器闲置资源进行挖矿。 攻击事件分析 攻击手法 CuteBoi 主…

    2023年1月5日
  • ihateniggers:针对Python开发者的Windows远控木马分析

    背景 墨菲安全实验室在持续监测开源软件仓库中的投毒行为,5 月 9 日起发现 4 个包含 “ihateniggers” 远程控制木马的 Python 包被 nagogy@gmail.com 邮箱关联的账号发布到 PyPI 仓库,试图针对Windows系统下 Python 开发者进行攻击。木马利用了discord、replit、play…

    2023年5月12日
  • shaikhyaser在NPM 仓库中投放67个恶意包

    一、事件简述: 7 月 16 日 ,OSCS 安全社区监测到shaikhyaser一天内在NPM仓库中不间断投放了十多个组件包,这些组件包都包含恶意行为。截止到21日,该用户已向 NPM 仓库投放了 67个不同版本的的恶意组件包,这些包也在代码中注明了该用户的邮箱,推测是hackerone中的用户。 这些恶意包的攻击方式相同,下面来分析其攻击手法。 二、 手…

    2023年1月5日
  • btwiuse在 NPM 仓库中发布后门组件

    事件简述 NPM 是 Node.js 包管理工具,提供了对第三方 Node.js 包的查找、下载、安装、卸载等功能。 2022 年 07 月 04 日,OSCS 监测发现 NPM 官方仓库被 btwiuse 上传了 btwiuse、k0s 恶意组件包,使用恶意组件包后会在用户电脑上加载名为 k0s 的远控木马,危害较为严重,OSCS 提醒广大开发者关注。 详…

    2023年1月5日
  • 在线编程 IDE =远程网络攻击?

    背景: 黑客通常使用受感染的机器而不是直接从个人拥有的设备发起攻击,这使他们能够隐藏其来源。在最近的事件响应中,Profero 的事件响应团队调查了一种可能的情况,假设威胁参与者使用 Datacamp 的在线 IDE 对云基础设施发起攻击。但是,因为Datacamp、ISP 和在线 IDE 之间错综复杂的关系,使得Profero 的事件响应团队对使用云 ID…

    2023年1月5日

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注

联系我们

400-180-9568

邮件:hi@murphysec.com

工作时间:周一至周五,10:00-19:00,节假日休息

关注公众号

20230105-100741