超過 170 萬用戶遭受中毒的 Python 軟件包技巧擊中

https://www.theregister.com/2024/03/25/python_package_malware/

超過 17 萬用戶受到有毒的 Python 套件騙局影響。CheckMarx 表示,攻擊以假的 Python 基礎架構為手段,成功利用多名受害者。攻擊者利用各種供應鏈攻擊技術散播感染惡意軟體的 Python PyPI 套件。該惡意軟體竊取瀏覽器、Discord、加密錢包和符合特定關鍵字的檔案資料,但目前尚不清楚這些資料被發送到何處。攻擊手法複雜多端,包括偽裝成 Colorama 等知名 Python 套件的克隆版本、以及假冒或錯別字域名。這些手法成功地從無數開發人員那裡竊取了用戶資料。惡意 Python 套件於 2022 年 11 月上傳,但直到去年 2 月偽裝域名註冊後,攻擊才真正展開。對真實 PyPI 域名進行替換,是攻擊的下一步,管道為 GitHub。然而,要在類似 Top.gg 這樣的大型 GitHub 項目中進行提交,攻擊者需要先攻陷多個 GitHub 帳戶。攻擊者最後在 GitHub repo 中插入了偽裝的 Colorama 套件。Top.gg 用戶於 3 月 3 日意識到 GitHub repo 受到威脅,並向維護者報告。此舉揭示了攻擊的範圍可能至少數千人,甚至數萬人。開發人員多年來一直在努力確保 PyPI 等開源套件管理器的完整性,但這種攻擊相當難以防範。

via The Register

March 26, 2024 at 02:10AM

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *