按 Enter 到主內容區
:::

TWCERT-電子報

:::

資安廠商發現 Python 官方程式庫 PyPI 內含多種惡意軟體套件

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2022-08-18
  • 點閱次數:278
資安廠商發現 Python 官方程式庫 PyPI 內含多種惡意軟體套件 TWCERT/CC

資安廠商 Check Point 近日發現,廣受 Python 開發者愛用的程式庫 PyPI,遭駭侵者植入多種惡意軟體套件供人下載安裝;用戶如果將之安裝在自己的電腦上,駭侵者即可輕易竊得電腦中的各種機敏資訊,包括登入資訊或 API 金鑰,開發者不可不慎。

Check Point 在近日發表的專文中指出,由於 PyPI 可以很容易的透過單行指令來安裝各種軟體套件,非常便捷,因此近來成為駭侵者的攻擊目標。

Check Point 說,這類具攻擊的具體手法是,駭侵者上傳一些含有惡意程式碼的套件,並偽裝成安裝者眾多的熱門 Python 套件,以魚目混珠的手法,誘使開發者下載安裝在自己的開發用設備上,駭侵者即可得逞。

Check Point 的資安團隊,一共在 PyPI 中發現 10 個含有惡意程式碼的程式套件,分別如下:

  • Ascii2text
  • Pyg-utils
  • Pymocks
  • PyProto2
  • Test-async
  • Free-net-vpn
  • Free-net-vpn2
  • Zlibsrc
  • Browserdiv
  • WinRPCexploit

Check Point 指出,近期這類利用惡意程式開發套件,來進行供應鏈攻擊的案例,有愈來愈多的趨勢;發生在本(2022)年 6 月的 Pygrata 攻擊事件,即是駭侵者利用這種手法來竊取用戶 AWS 登入資訊與多種環境變數的案例。

建議開發者在利用 PyPI 這類程式庫安裝套件時,應詳細閱讀文件,確認套件名稱、版本、發行者的真實性,以免誤安裝到惡意程式庫。

回頁首