PyPI代码库又现恶意软件包,腾讯安全威胁情报已收录,专家提醒码农小心供应链攻击

最新推荐文章于 2025-02-07 17:09:27 发布
原创 最新推荐文章于 2025-02-07 17:09:27 发布 · 512 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#威胁情报 #安全威胁

近期在PyPI存储库中发现了多个恶意Python包,攻击者利用这些包实施后门植入、信用卡信息窃取等行为。这些恶意包已被下载3万次,腾讯安全专家建议开发者们在下载资源时加强安全审核。

据Jfrog科技博客报道,在 PyPI 存储库中发现几个恶意代码,攻击者试图植入后门、窃取信用卡信息、窃取浏览器敏感数据、截屏并上传到指定地址。相关恶意代码在从PyPI网站删除之前已被下载3万次,腾讯安全专家发现国内部分镜像库尚存在这些恶意代码,腾讯安全专家建议软件开发人员从PyPI 代码库下载资源时,注意进行安全审核,避免将恶意代码安装到自己的开发环境中。

事件背景

近年来,PyPI、GitHub等软件存储库多次曝出软件供应链攻击事件:攻击者将内置后门的代码上传到公共存储库,其他开发人员如果不注意对代码进行安全审核,就可能将有害代码应用到自己的开发环境,继而在分发自己开发的软件时,将恶意程序传播给最终用户。

有问题的 Python 包,被发现使用 Base64 编码进行了混淆:

  • pytagora (uploaded by leonora123)
  • pytagora2 (uploaded by leonora123)
  • noblesse (uploaded by xin1111)
  • genesisbot (uploaded by xin1111)
  • are (uploaded by xin1111)
  • suffer (uploaded by suffer)
  • noblesse2 (uploaded by suffer)
  • noblessev2 (uploaded by suffer)

PyPI 是 Python Package Index 的缩写,是 Python 的官方第三方软件存储库,诸如pip 之类的包管理器实用程序依赖它作为包及其依赖项的默认源。将恶意代码上传到官方存储库,会导致依赖这些源(或镜像源)部署开发环境的软件开发者在无意中将恶意代码传播出去。从而构成典型的软件供应链攻击。

据了解,PyPI、Github及其他公共代码存储库本身并不对代码内容进行审核,任何开发人员均可注册,并上传代码。这种机制类似于其他社交媒体平台,平台方并不对内容安全性负责。

腾讯安全专家建议软件开发人员在使用PyPI、Github等公共代码库分享的代码之前,对代码内容进行审阅,避免安装恶意代码。腾讯安全已将上述存在恶意代码的文件拉黑,帮助软件开发人员检测风险。

恶意样本分析:

恶意代码使用base64方式进行编码保存,主要为隐藏恶意后门相应功能。

下图中的后门代码,试图连接172.16.60.80:9009,然后执行从socket中读取的Python代码。

恶意代码通过查询sqlite数据库窃取Chrome保存的敏感信息,进一步获取浏览器中保存的所有账号和登录密码。

 

对电脑屏幕截屏窃取敏感信息。

将盗窃的上述敏感数据上传到如下接口地址:

hxxps://discordapp.com/api/webhooks/725066562536472720/dj6bPPENAE5SxFzMRB6m7FEPwIbrWkH_5PlSR6RG99pY73wjJ9dVoZTkOrvOQ04cZybR

腾讯安全解决方案:

PyPI恶意代码包威胁数据已加入腾讯安全威胁情报数据库,赋能给腾讯全系列安全产品,客户可以通过订阅腾讯安全威胁情报产品,让全网安全设备同步具备相应的威胁检测、防御、阻断能力。推荐政企客户在公有云中部署腾讯云防火墙、腾讯主机安全(云镜)等安全产品检测防御相关威胁。

腾讯主机安全(云镜)支持对PyPI恶意代码包落地文件进行检测清除,客户可登录腾讯云->主机安全控制台,检查病毒木马告警信息,将恶意木马一键隔离或删除。推荐政企客户通过腾讯主机安全的漏洞管理、基线管理功能对网络资产进行安全漏洞和弱口令检测。

腾讯iOA、腾讯电脑管家已支持查杀拦截相关恶意软件包下载。

 

私有云客户可通过旁路部署腾讯高级威胁检测系统(御界)进行流量检测分析,腾讯高级威胁检测系统(御界)已支持对政企内网用户下载相关恶意文件及恶意后门窃取敏感信息回传等活动进行检测。

政企客户可通过旁路部署腾讯天幕(NIPS)实时拦截通过PyPI代码库投放的后门连接远程服务器,彻底封堵威胁流量。腾讯天幕(NIPS)基于腾讯自研安全算力算法PaaS优势,形成具备万亿级海量样本、毫秒级响应、自动智能、安全可视化等能力的网络边界协同防护体系。

IOCs

MD5

453ddb774d66e75c9b65b68306957ef8
253325d92666c6bb1160780ed85705a5
a61b6c3551d91b1e08a6daf843bcc3ab
5274c20eda8a905784a85d898a038dde 

 

参考资料:

https://jfrog.com/blog/malicious-pypi-packages-stealing-credit-cards-injecting-code/

https://www.theregister.com/2021/07/28/python_pypi_security

https://thehackernews.com/2021/07/several-malicious-typosquatted-python.html

Python语言学习:Python语言学习之程序打包发布(exe/msi等)&如何将自己的Python项目(自定义程序代码库)发布到PyPI全流程的简介、案例应用之详细攻略
头部AI社区如有邀博主AI主题演讲请私信—心比天高,仗剑走天涯,保持热爱,奔赴向梦想!低调,专注,谦虚,自律,反思,成长,还算比较正能量的博主,公益免费传播…内心特别想在AI界做出一些可以推进历史进程影响力的技术(兴趣使然,有点小情怀,也有点使命感呀
09-14 2136
​ Python语言学习:Python语言学习之程序打包发布(exe/msi等)&如何将自己的Python项目(自定义程序代码库)发布到PyPI全流程的简介、案例应用之详细攻略 目录 程序打包发布的简介 如何将自己的Python项目(自定义程序代码库)发布到PyPI 程序打包发布的简介 1、程序常被打包的两种格式:exe和msi 隐藏源码,保护核心技术和知识产权;便于发布程序;可以脱离python环境在任意电脑上执行。 2、常用的打包方法 T1、Pyinstaller
恶意代码样本7-02
weixin_50847719的博客
11-16 349
无壳 IDA main函数 看一下OleInitialize 翻译翻译什么叫MSDN 初始化COM库,将当前并发模式设为STA(单线程),可以启动额外功能, 除了CoGetMalloc 和 memory allocation functions之外,.调用COM库之前必须初始化 不知道这几天Chrome为什么不能翻译英文了,逼我自己翻译 先初始化COM库 CoCreateInstance 创建并默认初始化一个单一对象类标识符(CLSID) CoCreateInstanceEx和OleInitiali
什么是 PyPI(Python Package Index,Python 包索引)?
阿正的梦工坊
12-30 4941
PyPI is a vital part of the Python ecosystem. It allows developers to easily store, share, and manage Python packages, significantly simplifying the process of installing third-party libraries and managing package dependencies.
python脚本会被检测吗,python编写勒索病毒
gk12336的博客
01-12 555
大家好,小编为大家解答python脚本会被检测吗的问题。很多人还不知道python编写勒索病毒,在让我们一起来看看吧!
2024一站式解决 python打包代码,发布到pypi
风吹落叶的博客
05-15 1828
各位开发者你们好,在这个万众创新的时代,发布自己的代码到pypi上逐渐变越发常见,不过网上教程良莠不齐,受限于平常时间,只能简单整理一下,下面是具体步骤。个人跑通pypi上传项目全流程大概耗时40分钟左右,请预留一定时间,跟完全流程。
发布Python包到pypi
Qwertyuiop2016的博客
09-29 1244
填写一个名字,然后选择scope点Add token,会得到一个以pypi-开头的字符串,就是token。下创建,Administrator是登陆的用户名。接着会生成两个文件到dist目录下,其中的whl文件就可以直接用pip安装了。这里以前者为例,打开网站,注册账号->验证邮箱->创建API tokens。选择哪一种就将配置写入pyproject.toml,任意一种都可以。是你上传的包需要安装的依赖。,前者大概是用来测试用的。文件里的,也可以写pypi。其他的一看应该就知道了,然后就可以开始构建了。
【安全通知】PyPI 官方仓库遭遇covd恶意包投毒
Tencent_SRC的博客
11-18 5778
文|腾讯洋葱反入侵系统七夜、xnianq、柯南近日,腾讯洋葱反入侵系统检测发 PyPI官方仓库被恶意上传了covd 钓鱼包,并通知官方仓库下架处理。由于国内开源镜像站均同步于PyPI官...
【安全通知】PyPI 官方仓库遭遇request恶意包投毒
Tencent_SRC的博客
08-05 5660
作者:腾讯洋葱反入侵系统七夜、vspiders、conan近日,腾讯洋葱反入侵系统检测发 PyPI官方仓库被恶意上传了request 钓鱼包,由于国内开源镜像站均同步于PyPI官方仓库...
PyPIDeepSeek 恶意软件包,开源安全与供应链防护该如何破局 ?
分享软件供应链安全最新技术与最佳实践
02-07 1177
DeepSeek恶意包事件绝非孤立案例,而是当下软件供应链安全危机的缩影。
超过2.2万个已删PyPI包竟存在被“复兴劫持”风险,供应链攻击新手段曝光!微软macOS应用惊爆八大漏洞,黑客可轻松获取无限制访问权限!| 安全周报0906
weixin_55163056的博客
09-06 1982
Apache OFBiz爆新漏洞,远程代码执行威胁Linux与Windows安全;中国贸易公司遭新型跨平台恶意软件KTLVdoor猛烈攻击;Android用户务必立即安装最新安全补丁,堵截正在被黑客利用的漏洞;超过2.2万个已删PyPI包竟存在被“复兴劫持”风险
供应链投毒预警 | 恶意Py组件tohoku-tus-iot-automation开展窃密木马投毒攻击
Anprou的博客
03-18 1307
上周(2024年3月6号),悬镜供应链安全情报中心在Pypi官方仓库(https://pypi.org/)中捕获1起新的Py包投毒事件,Python组件tohoku-tus-iot-automation从3月6号开始连续发布6个不同版本恶意包,其中多个版本恶意代码使用PyArmor进行加密混淆保护,这些恶意包主要针对Windows平台的Python开发者,除了会窃取系统基础信息和主流浏览器(Edge、Chrome)用户密码数据,还会远程下载木马程序植入到开发者系统中盗取系统密码。
安全警告 在 PyPI 中发了十个恶意软件库
<sdffdsfsdfdfs>sfsfsfsdfsdffds</sdfsDS>Fsd
09-26 608
新媒体管家点击上方“程序员大咖”,选择“置顶公众号”关键时刻,第一时间送达!斯洛伐克国家安全局(NBU)在 PyPI(Python 的官方第三方软件存储库)中发了十个恶意软件库。NBU 专家说,攻击者故意将软件包的名称拼写错误,使其看起来和真的一样,然后上传到 PyPI 中。例如使用“urlib”而不是“urllib”,这样类似的方式等。PyPI 存储库不执行任何类型的安全检查或审计,因此攻击
网络安全之恶意代码
热门推荐
学而思(xiejava的blog)
01-17 2万+
恶意代码是一种有害的计算机代码或 web 脚本,其设计目的是创建系统漏洞,并借以造成后门、安全隐患、信息和数据盗窃、以及其他对文件和计算机系统的潜在破坏。恶意代码不仅使企业和用户蒙受了巨大的经济损失,而且使国家的安全面临着严重威胁。1991年的海湾战争是美国第一次公开在实战中使用恶意代码攻击技术取得重大军事利益,从此恶意代码攻击成为信息战、网络战最重要的入侵手段之一。恶意代码问题无论从政治上、经济上、还是军事上,都成为信息安全面临的首要问题。让我们一起来认识一下恶意代码。 一、什么是恶意代码 恶意代码(Un
有人在代码里下毒!慎用 pip install 命令
Python中文社区
11-21 1万+
大约一年前,Python软件基金会(Python Software Foundation)发了一个需求咨询帖子(RFI,https://discuss.python.org/t/what...
【四旋翼飞行器】【模拟悬链机器人的动态】设计和控制由两个四旋翼飞行器推动的缆绳研究(Matlab代码实
11-26
【四旋翼飞行器】【模拟悬链机器人的动态】设计和控制由两个四旋翼飞行器推动的缆绳研究(Matlab代码实)内容概要:本文围绕“设计和控制由两个四旋翼飞行器推动的缆绳系统”展开研究,通过建立动力学模型并利用Matlab进行仿真,模拟类似悬链机器人的动态行为。研究重点在于多无人机协同控制、缆绳张力分析及系统稳定性控制,结合非线性动力学与控制理论,实对柔性连接负载的精确操控。文中提供了完整的Matlab代码实,便于复实验结果,适用于复杂空中作业任务的仿真验证。; 适合人群:具备一定控制理论基础和Matlab编程能力的研究生、科研人员及从事无人机协同控制、机器人系统开发的工程技术人员。; 使用场景及目标:①研究多无人机协同搬运与柔性负载控制;②掌握缆绳系统动力学建模与仿真方法;③应用于空中机器人、工业吊装、救援运输等实际场景的控制系统设计与优化; 阅读建议:建议结合Matlab代码逐模块分析,重点关注动力学建模、控制律设计与仿真结果验证部分,可进一步扩展至更多无人机协同或复杂环境干扰下的鲁棒性研究。
基于遗传算法的梯级水电站群联合火电厂优化调度研究(Python代码实
11-26
基于遗传算法的梯级水电站群联合火电厂优化调度研究(Python代码实)内容概要:本文研究了基于遗传算法的梯级水电站群联合火电厂优化调度问题,旨在通过智能优化方法实电力系统中水火电资源的协调调度,提升能源利用效率与调度经济性。文中构建了考虑水电站间水力联系、水库库容约束、机组出力特性及火电厂运行成本的综合优化模型,并采用遗传算法进行求解,给出了完整的Python代码实。该方法能够有效处理复杂的非线性、多约束、多变量调度问题,具备良好的收敛性和实
无人机基于改进粒子群算法的无人机路径规划研究[和遗传算法、粒子群算法进行比较](Matlab代码实
最新发布
11-26
【无人机】基于改进粒子群算法的无人机路径规划研究[和遗传算法、粒子群算法进行比较](Matlab代码实)内容概要:本文围绕基于改进粒子群算法的无人机路径规划展开研究,重点探讨了在复杂环境中利用改进粒子群算法(PSO)实无人机三维路径规划的方法,并将其与遗传算法(GA)、标准粒子群算法等传统优化算法进行对比分析。研究内容涵盖路径规划的多目标优化、避障策略、航路点约束以及算法收敛性和寻优能力的评估,所有实验均通过Matlab代码实,提供了完整的仿真验证流程。文章还提到了多种智能优化算法在无人机路径规划中的应用比较,突出了改进PSO在收敛速度和全局寻优方面的优势。; 适合人群:具备一定Matlab编程基础和优化算法知识的研究生、科研人员及从事无人机路径规划、智能优化算法研究的相关技术人员。; 使用场景及目标:①用于无人机在复杂地形或动态环境下的三维路径规划仿真研究;②比较不同智能优化算法(如PSO、GA、蚁群算法、RRT等)在路径规划中的性能差异;③为多目标优化问题提供算法选型和改进思路。; 阅读建议:建议读者结合文中提供的Matlab代码进行实践操作,重点关注算法的参数设置、适应度函数设计及路径约束处理方式,同时可参考文中提到的多种算法对比思路,拓展到其他智能优化算法的研究与改进中。
图像重建使用FDK的三维谢普洛根幻影重建(Matlab代码实
11-26
【图像重建】使用FDK的三维谢普洛根幻影重建(Matlab代码实)内容概要:本文介绍了使用FDK算法在Matlab环境中实三维谢普洛根幻影(Shepp-Logan phantom)图像重建的技术方法,重点展示了图像重建过程中的关键步骤与代码实。该资源属于一系列图像处理与医学成像技术研究的一部分,涵盖了从投影数据生成到反投影重建的完整流程,帮助读者理解CT图像重建的基本原理与FDK算法的应用细节。; 适合人群:具备一定Matlab编程基础,从事医学图像处理、计算机断层成像(CT)或相关领域研究的研究生、科研人员及工程技术人员。; 使用场景及目标:①学习和掌握FDK算法在三维图像重建中的具体实;②理解Shepp-Logan幻影模型在仿真成像中的作用;③为医学图像重建、算法验证与教学演示提供可运行的Matlab代码参考; 阅读建议:建议结合Matlab代码逐行调试,理解投影(正弦图)生成与滤波反投影的每一步操作,同时可延伸学习其他重建算法(如FBP
【大数据搜索技术】Elasticsearch7.8安装部署与集群管理:基于CentOS的分布式搜索引擎配置及性能优化实践
11-26
内容概要:本文详细介绍了Elasticsearch 7.8的安装部署及核心功能应用,涵盖环境准备、解压配置、启动优化、集群搭建、分片管理、健康监控等内容,并结合Kibana和Logstash构建完整的ELK日志分析体系。文章还讲解了中文分词器IK的使用、快照备份与恢复机制,以及如何通过Filebeat采集Nginx等服务的日志数据并进行可视化展示,系统性地呈了Elasticsearch在实际生产环境中的部署与运维流程。; 适合人群:具备Linux基础和一定运维经验的技术人员,尤其是从事日志分析、搜索系统搭建或中间件维护的开发与运维工程师;适合初学者入门Elasticsearch及相关生态组件。; 使用场景及目标:①掌握Elasticsearch单节点与集群环境的安装与配置;②理解索引、分片、副本等核心概念并应用于实际业务;③构建基于Filebeat+Logstash+ES+Kibana的日志采集与分析链路;④实数据的备份恢复与中文检索功能; 阅读建议:建议按照文档顺序逐步操作,重点关注配置参数调优与常见错误处理(如权限、虚拟内存限制),动手实践集群部署与日志采集流程,结合Kibana进行数据验证与可视化分析,加深对ELK生态协同工作的理解。
maloss:评估解释型语言程序包管理器的供应链攻击
然而,这些工具也带来了潜在的安全风险,尤其是当恶意软件通过这些平台传播时,可能会对整个软件供应链造成严重的威胁。 解释型语言如JavaScript、Ruby、PHP等由于其动态特性,使得恶意代码更容易隐藏,这增加了在...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值