• 發布單位:TWCERT/CC
• 更新日期:2023-11-10
• 點閱次數:633

資安廠商 Checkmarkx 旗下的資安研究人員，近期發現一波惡意攻擊活動，駭侵者在數百種開源 Python 程式庫中植入惡意程式碼，用以竊取機敏資訊；目前這些惡意程式庫的下載次數已達 75,000 次。

Checkmarx 的供應鏈資安團隊，發現這波攻擊行動已持續近半年，在多達 272 個不同的開源 Python 程式庫中植入了可用以竊取各種機敏資訊的惡意程式碼，而駭侵者也利用各種混淆手法來掩飾這些惡意程式碼不被資安防護工具發現。

研究人員是從 2023 年 4 月開始發現 Python 生態系中出現這種攻擊手法，以一支名為「_init_py」的 Python 程式為例，一旦執行後，就會在受害系統中竊取下列資訊：

• 系統上執行的防毒防駭工具相關資訊；
• 系統執行工作列表、Wi-Fi 密碼、系統資訊；
• 瀏覽器中儲存的登入帳密、瀏覽記錄、付款資訊等；
• Atomic、Exodus 等加密貨幣錢包 app 資料；
• Discord 相關資訊、電話號碼、email 地址、nitro 狀態；
• Minecraft 和 Roblox 用戶資料。

該惡意軟體也會監控使用者的剪貼簿，竊取用戶複製的加密貨幣錢包位址，並以駭侵者控制的錢包位址加以替換，以竊取用戶的加密貨幣轉帳資金。

另外 Checkmarx 也發現有惡意軟體會替換掉加密貨幣錢包軟體 Exodus 的核心檔案，不但可以閃避系統的資安檢查程序，還可以竊取用戶的相關資料。像這樣可操弄應用軟體的惡意程式碼也不在少數。

為避免這類供應鏈攻擊有效發生，建議程式開發者避免自不明第三方平台下載開源套件，應從開發者官方網站下載，且應檢查套件與正版源碼的一致性，再行使用於軟體中。