10 gói Python độc hại bị lộ trong cuộc tấn công kho lưu trữ mới nhất

Phóng to / Phần mềm Check Point phát hiện ra tập lệnh độc hại ẩn bên trong gói Python ascii2text lừa đảo. / Tập lệnh độc hại bên trong gói aciii2text Python gây hiểu lầm, do Check Point Software phát hiện.

Phần mềm kiểm tra điểm

Các nhà nghiên cứu đã phát hiện ra một bộ gói độc hại khác trong PyPi, kho lưu trữ chính thức và phổ biến nhất cho các thư viện mã và chương trình Python. Những người bị lừa bởi các gói dường như quen thuộc có thể bị tải xuống phần mềm độc hại hoặc đánh cắp thông tin đăng nhập và mật khẩu của người dùng

Check Point Research, đã báo cáo những phát hiện của mình vào thứ Hai, đã viết rằng họ không biết có bao nhiêu người đã tải xuống 10 gói, nhưng họ lưu ý rằng PyPi có 613.000 người dùng đang hoạt động và mã của nó được sử dụng trong hơn 390.000 dự án. Cài đặt từ PyPi thông qua lệnh pip là bước cơ bản để bắt đầu hoặc thiết lập nhiều dự án Python. PePy, một trang web ước tính số lượt tải xuống dự án Python, gợi ý rằng hầu hết các gói độc hại đã có hàng trăm lượt tải xuống

Đọc thêm

từ điển tin tặc. Tấn công chuỗi cung ứng là gì?

Các cuộc tấn công chuỗi cung ứng supply-chain attacks như vậy đang ngày càng trở nên phổ biến, đặc biệt là trong các kho lưu trữ phần mềm nguồn mở hỗ trợ nhiều loại phần mềm trên thế giới. Kho lưu trữ của Python là mục tiêu thường xuyên, với việc các nhà nghiên cứu tìm thấy gói độc hại vào  đang ngày càng trở nên phổ biến, đặc biệt là trong các kho lưu trữ phần mềm nguồn mở hỗ trợ nhiều loại phần mềm trên thế giới. Kho lưu trữ của Python là mục tiêu thường xuyên, với việc các nhà nghiên cứu tìm thấy gói độc hại vào  đang ngày càng trở nên phổ biến, đặc biệt là trong các kho lưu trữ phần mềm nguồn mở hỗ trợ nhiều loại phần mềm trên thế giới. Kho lưu trữ của Python là mục tiêu thường xuyên, với việc các nhà nghiên cứu tìm thấy gói độc hại vào  đang ngày càng trở nên phổ biến, đặc biệt là trong các kho lưu trữ phần mềm nguồn mở hỗ trợ nhiều loại phần mềm trên thế giới. Kho lưu trữ của Python là mục tiêu thường xuyên, với việc các nhà nghiên cứu tìm thấy gói độc hại vào  đang ngày càng trở nên phổ biến, đặc biệt là trong các kho lưu trữ phần mềm nguồn mở hỗ trợ nhiều loại phần mềm trên thế giới. Kho lưu trữ của Python là mục tiêu thường xuyên, với việc các nhà nghiên cứu tìm thấy gói độc hại vào  đang ngày càng trở nên phổ biến, đặc biệt là trong các kho lưu trữ phần mềm nguồn mở hỗ trợ nhiều loại phần mềm trên thế giới. Kho lưu trữ của Python là mục tiêu thường xuyên, với việc các nhà nghiên cứu tìm thấy gói độc hại vào  đang ngày càng trở nên phổ biến, đặc biệt là trong các kho lưu trữ phần mềm nguồn mở hỗ trợ nhiều loại phần mềm trên thế giới. Kho lưu trữ của Python là mục tiêu thường xuyên, với việc các nhà nghiên cứu tìm thấy gói độc hại vào  đang ngày càng trở nên phổ biến, đặc biệt là trong các kho lưu trữ phần mềm nguồn mở hỗ trợ nhiều loại phần mềm trên thế giới. Kho lưu trữ của Python là mục tiêu thường xuyên, với việc các nhà nghiên cứu tìm thấy gói độc hại vào  đang ngày càng trở nên phổ biến, đặc biệt là trong các kho lưu trữ phần mềm nguồn mở hỗ trợ nhiều loại phần mềm trên thế giới. Kho lưu trữ của Python là mục tiêu thường xuyên, với việc các nhà nghiên cứu tìm thấy gói độc hại vào  đang ngày càng trở nên phổ biến, đặc biệt là trong các kho lưu trữ phần mềm nguồn mở hỗ trợ nhiều loại phần mềm trên thế giới. Kho lưu trữ của Python là mục tiêu thường xuyên, với việc các nhà nghiên cứu tìm thấy gói độc hại vào  đang ngày càng trở nên phổ biến, đặc biệt là trong các kho lưu trữ phần mềm nguồn mở hỗ trợ nhiều loại phần mềm trên thế giới. Kho lưu trữ của Python là mục tiêu thường xuyên, với việc các nhà nghiên cứu tìm thấy gói độc hại vào  đang ngày càng trở nên phổ biến, đặc biệt là trong các kho lưu trữ phần mềm nguồn mở hỗ trợ nhiều loại phần mềm trên thế giới. Kho lưu trữ của Python là mục tiêu thường xuyên, với việc các nhà nghiên cứu tìm thấy gói độc hại vào  đang ngày càng trở nên phổ biến, đặc biệt là trong các kho lưu trữ phần mềm nguồn mở hỗ trợ nhiều loại phần mềm trên thế giới. Kho lưu trữ của Python là mục tiêu thường xuyên, với việc các nhà nghiên cứu tìm thấy gói độc hại vào  đang ngày càng trở nên phổ biến, đặc biệt là trong các kho lưu trữ phần mềm nguồn mở hỗ trợ nhiều loại phần mềm trên thế giới. Kho lưu trữ của Python là mục tiêu thường xuyên, với việc các nhà nghiên cứu tìm thấy gói độc hại vào  đang ngày càng trở nên phổ biến, đặc biệt là trong các kho lưu trữ phần mềm nguồn mở hỗ trợ nhiều loại phần mềm trên thế giới. Kho lưu trữ của Python là mục tiêu thường xuyên, với việc các nhà nghiên cứu tìm thấy gói độc hại vào  đang ngày càng trở nên phổ biến, đặc biệt là trong các kho lưu trữ phần mềm nguồn mở hỗ trợ nhiều loại phần mềm trên thế giới. Kho lưu trữ của Python là mục tiêu thường xuyên, với việc các nhà nghiên cứu tìm thấy gói độc hại vào  đang ngày càng trở nên phổ biến, đặc biệt là trong các kho lưu trữ phần mềm nguồn mở hỗ trợ nhiều loại phần mềm trên thế giới. Kho lưu trữ của Python là mục tiêu thường xuyên, với việc các nhà nghiên cứu tìm thấy gói độc hại vào  đang ngày càng trở nên phổ biến, đặc biệt là trong các kho lưu trữ phần mềm nguồn mở hỗ trợ nhiều loại phần mềm trên thế giới. Kho lưu trữ của Python là mục tiêu thường xuyên, với việc các nhà nghiên cứu tìm thấy gói độc hại vào  đang ngày càng trở nên phổ biến, đặc biệt là trong các kho lưu trữ phần mềm nguồn mở hỗ trợ nhiều loại phần mềm trên thế giới. Kho lưu trữ của Python là mục tiêu thường xuyên, với việc các nhà nghiên cứu tìm thấy gói độc hại vào  đang ngày càng trở nên phổ biến, đặc biệt là trong các kho lưu trữ phần mềm nguồn mở hỗ trợ nhiều loại phần mềm trên thế giới. Kho lưu trữ của Python là mục tiêu thường xuyên, với việc các nhà nghiên cứu tìm thấy gói độc hại vào  đang ngày càng trở nên phổ biến, đặc biệt là trong các kho lưu trữ phần mềm nguồn mở hỗ trợ nhiều loại phần mềm trên thế giới. Kho lưu trữ của Python là mục tiêu thường xuyên, với việc các nhà nghiên cứu tìm thấy gói độc hại vào  đang ngày càng trở nên phổ biến, đặc biệt là trong các kho lưu trữ phần mềm nguồn mở hỗ trợ nhiều loại phần mềm trên thế giới. Kho lưu trữ của Python là mục tiêu thường xuyên, với việc các nhà nghiên cứu tìm thấy gói độc hại vào  đang ngày càng trở nên phổ biến, đặc biệt là trong các kho lưu trữ phần mềm nguồn mở hỗ trợ nhiều loại phần mềm trên thế giới. Kho lưu trữ của Python là mục tiêu thường xuyên, với việc các nhà nghiên cứu tìm thấy gói độc hại vào  đang ngày càng trở nên phổ biến, đặc biệt là trong các kho lưu trữ phần mềm nguồn mở hỗ trợ nhiều loại phần mềm trên thế giới. Kho lưu trữ của Python là mục tiêu thường xuyên, với việc các nhà nghiên cứu tìm thấy gói độc hại vào  đang ngày càng trở nên phổ biến, đặc biệt là trong các kho lưu trữ phần mềm nguồn mở hỗ trợ nhiều loại phần mềm trên thế giới. Kho lưu trữ của Python là mục tiêu thường xuyên, với việc các nhà nghiên cứu tìm thấy gói độc hại vào  đang ngày càng trở nên phổ biến, đặc biệt là trong các kho lưu trữ phần mềm nguồn mở hỗ trợ nhiều loại phần mềm trên thế giới. Kho lưu trữ của Python là mục tiêu thường xuyên, với việc các nhà nghiên cứu tìm thấy gói độc hại vào  đang ngày càng trở nên phổ biến, đặc biệt là trong các kho lưu trữ phần mềm nguồn mở hỗ trợ nhiều loại phần mềm trên thế giới. Kho lưu trữ của Python là mục tiêu thường xuyên, với việc các nhà nghiên cứu tìm thấy gói độc hại vào  đang ngày càng trở nên phổ biến, đặc biệt là trong các kho lưu trữ phần mềm nguồn mở hỗ trợ nhiều loại phần mềm trên thế giới. Kho lưu trữ của Python là mục tiêu thường xuyên, với việc các nhà nghiên cứu tìm thấy gói độc hại vào  đang ngày càng trở nên phổ biến, đặc biệt là trong các kho lưu trữ phần mềm nguồn mở hỗ trợ nhiều loại phần mềm trên thế giới. Kho lưu trữ của Python là mục tiêu thường xuyên, với việc các nhà nghiên cứu tìm thấy gói độc hại vào  đang ngày càng trở nên phổ biến, đặc biệt là trong các kho lưu trữ phần mềm nguồn mở hỗ trợ nhiều loại phần mềm trên thế giới. Kho lưu trữ của Python là mục tiêu thường xuyên, với việc các nhà nghiên cứu tìm thấy gói độc hại vào  tháng 9 năm 2017 ; . Tuy nhiên, các gói thủ thuật cũng đã được tìm thấy trong  June, July, and November 2021; and June of this year. But trick packages have also been found in RubyGems vào năm 2020 ,  NPM vào tháng 12 năm 2021, and many more open source repositories.

Đáng chú ý nhất, một cuộc tấn công chuỗi cung ứng nguồn riêng của tin tặc Nga thông qua phần mềm kinh doanh SolarWinds đã tàn phá đáng kể, dẫn đến việc lây nhiễm hơn 100 công ty và ít nhất 9 cơ quan liên bang của Hoa Kỳ, bao gồm Cục Quản lý An ninh Hạt nhân Quốc gia, Cục Doanh thu Nội địa.

Quảng cáo

Việc phát hiện ra các gói độc hại, giả mạo ngày càng phổ biến đang thúc đẩy các kho lưu trữ hành động. Mới hôm qua, GitHub, chủ sở hữu kho lưu trữ NPM cho các gói JavaScript, đã mở một yêu cầu nhận xét về việc cung cấp hệ thống chọn tham gia để các nhà phát triển gói ký và xác minh các gói của họ. Sử dụng Sigstore, một sự cộng tác giữa nhiều nhóm ngành và nguồn mở, các nhà phát triển NPM có thể đăng xuất trên các gói, báo hiệu rằng mã bên trong chúng khớp với kho lưu trữ ban đầu của họ

Có một dấu hiệu rõ ràng rằng gói bạn đang tải xuống có liên quan đến mã bạn cần có thể đã giúp mọi người tránh được những kẻ xấu PyPi được phát hiện gần đây nhất, mặc dù có lẽ không hoàn toàn. "Ascii2text" đã sao chép trực tiếp hầu hết mọi khía cạnh của "nghệ thuật" thư viện nghệ thuật ASCII, trừ chi tiết phát hành. Có lẽ đối với gần 1.000 người tải xuống, tên mô tả của nó có thể gợi ý một mục đích xác định hơn là "nghệ thuật". "

Việc cài đặt ascii2text đã kích hoạt tải xuống một tập lệnh độc hại, sau đó tìm kiếm bộ lưu trữ cục bộ của Opera, Chrome và các trình duyệt khác để tìm mã thông báo, mật khẩu hoặc cookie, cùng với một số ví tiền điện tử nhất định và gửi chúng đến máy chủ Discord

Phóng to / Tập lệnh độc hại bên trong gói aciii2text Python gây hiểu lầm, do Check Point Software phát hiện.

Phần mềm kiểm tra điểm

Các gói khác được phát hiện bởi AWS được nhắm mục tiêu Check Point và các thông tin xác thực và biến môi trường khác. Đây là danh sách các gói PyPi được báo cáo và kể từ khi bị xóa

Các nhà nghiên cứu đã phát hiện ra một bộ gói độc hại khác trong PyPi, kho lưu trữ chính thức và phổ biến nhất cho các thư viện mã và chương trình Python. Những người bị lừa bởi các gói dường như quen thuộc có thể bị tải xuống phần mềm độc hại hoặc đánh cắp thông tin đăng nhập và mật khẩu của người dùng

Check Point Research, đã báo cáo những phát hiện của mình vào thứ Hai, đã viết rằng họ không biết có bao nhiêu người đã tải xuống 10 gói, nhưng họ lưu ý rằng PyPi có 613.000 người dùng đang hoạt động và mã của nó được sử dụng trong hơn 390.000 dự án. Cài đặt từ PyPi thông qua lệnh pip là bước cơ bản để bắt đầu hoặc thiết lập nhiều dự án Python. PePy, một trang web ước tính số lượt tải xuống dự án Python, gợi ý rằng hầu hết các gói độc hại đã có hàng trăm lượt tải xuống

Các cuộc tấn công chuỗi cung ứng như vậy đang ngày càng trở nên phổ biến, đặc biệt là trong số các kho lưu trữ phần mềm nguồn mở hỗ trợ nhiều phần mềm trên thế giới. Kho lưu trữ của Python là mục tiêu thường xuyên, khi các nhà nghiên cứu tìm thấy các gói độc hại vào tháng 9 năm 2017; . Tuy nhiên, các gói thủ thuật cũng đã được tìm thấy trong RubyGems vào năm 2020, NPM vào tháng 12 năm 2021 và nhiều kho lưu trữ mã nguồn mở khác

Đáng chú ý nhất, một cuộc tấn công chuỗi cung ứng nguồn riêng của tin tặc Nga thông qua phần mềm kinh doanh SolarWinds đã tàn phá đáng kể, dẫn đến việc lây nhiễm hơn 100 công ty và ít nhất 9 cơ quan liên bang của Hoa Kỳ, bao gồm Cục Quản lý An ninh Hạt nhân Quốc gia, Cục Doanh thu Nội địa.

Quảng cáo

Việc phát hiện ra các gói độc hại, giả mạo ngày càng phổ biến đang thúc đẩy các kho lưu trữ hành động. Mới hôm qua, GitHub, chủ sở hữu kho lưu trữ NPM cho các gói JavaScript, đã mở một yêu cầu nhận xét về việc cung cấp hệ thống chọn tham gia để các nhà phát triển gói ký và xác minh các gói của họ. Sử dụng Sigstore, một sự cộng tác giữa nhiều nhóm ngành và nguồn mở, các nhà phát triển NPM có thể đăng xuất trên các gói, báo hiệu rằng mã bên trong chúng khớp với kho lưu trữ ban đầu của họ

Có một dấu hiệu rõ ràng rằng gói bạn đang tải xuống có liên quan đến mã bạn cần có thể đã giúp mọi người tránh được những kẻ xấu PyPi được phát hiện gần đây nhất, mặc dù có lẽ không hoàn toàn. “Ascii2text” sao chép trực tiếp hầu hết mọi khía cạnh của “nghệ thuật” thư viện nghệ thuật ASCII, trừ chi tiết phát hành. Đối với có lẽ gần 1.000 người tải xuống, tên mô tả của nó có thể gợi ý một mục đích xác định hơn là “nghệ thuật. ”

Việc cài đặt ascii2text đã kích hoạt tải xuống một tập lệnh độc hại, sau đó tìm kiếm bộ lưu trữ cục bộ của Opera, Chrome và các trình duyệt khác để tìm mã thông báo, mật khẩu hoặc cookie, cùng với một số ví tiền điện tử nhất định và gửi chúng đến máy chủ Discord

Phóng to / Tập lệnh độc hại bên trong gói aciii2text Python gây hiểu lầm, do Check Point Software phát hiện.

Các gói khác được phát hiện bởi AWS được nhắm mục tiêu Check Point và các thông tin xác thực và biến môi trường khác. Đây là danh sách các gói PyPi được báo cáo và kể từ khi bị xóa

Các gói Python có thể độc hại không?

Bạn có thể nhiễm vi-rút từ PyPI không?

Gói Python mới nhất là gì?

Các gói Python có thể lấy cắp dữ liệu không?