日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

已發(fā)現(xiàn)托管在Python軟件包索引(PyPI)代碼庫中的三個惡意軟件包，它們共計被下載12,000次——并且可能被偷偷安裝在各種應用程序中。

獨立研究員安德魯·斯科特(Andrew Scott)在對PyPI中包含的代碼進行近乎全站范圍的分析時發(fā)現(xiàn)了這些包，PyPI是用Python編程語言創(chuàng)建的軟件代碼存儲庫。與GitHub、npm和RubyGems一樣，PyPI允許編碼人員上傳軟件包，供開發(fā)人員用于構建各種應用程序、服務和其他項目。

不幸的是，一個惡意包可以被安裝到多個不同的項目中——用加密礦工、信息竊程序等感染它們，并使修復成為一個復雜的過程。

在本例中，Scott發(fā)現(xiàn)了一個包含已知木馬惡意軟件和兩個信息竊取程序的惡意軟件包。

他說，這個木馬包被稱為“aws-login0tool”，一旦安裝該軟件包，它就會獲取一個有效載荷可執(zhí)行文件，結果證明它是一個已知的木馬。

Scott在周日的一篇帖子中解釋說：“我發(fā)現(xiàn)這個包是因為它在我查看setup.py時的多個文本搜索中被標記，因為這是Python包中惡意代碼最常見的位置之一，在安裝時可以在那里執(zhí)行任意代碼?！薄熬唧w來說，我是通過查找import urllib.request發(fā)現(xiàn)這一點的，因為它通常用于竊取數(shù)據(jù)或下載惡意文件，它也是由from subprocess import Popen觸發(fā)的，這有點可疑，因為大多數(shù)包不需要執(zhí)行任意命令行代碼。”

Scott還通過查看import urllib.request字符串確定了另外兩個惡意軟件包，這兩個包都是為數(shù)據(jù)滲漏而構建的。

這兩個名為“dpp-client”和“dpp-client1234I”的文件是由同一個用戶在二月份上傳的。在安裝過程中，他們收集有關環(huán)境和文件列表的詳細信息，并且似乎“專門尋找與Apache Mesos相關的文件”，Scott說，這是一個管理計算機集群的開源項目。據(jù)研究人員稱，一旦收集到信息，就會將其發(fā)送到一個未知的web服務。

Python安全團隊在12月10日收到通知后刪除了已識別的包，但由于這些項目在刪除之前就被導入了，所有三個包都繼續(xù)存在。

Scott表示，該木馬程序包于12月1日首次添加到PyPI中，隨后被下載了近600次。至于數(shù)據(jù)竊取者，dpp-client包下載量超過10000次，其中上個月下載量600+;dpp-client1234已被下載約1,500次。并且這兩個軟件包的源代碼URL都模仿了現(xiàn)有的流行庫，“所以任何人在PyPI中瀏覽軟件包或分析庫的流行程度時，都會看到大量的GitHub星星和分支，這代表了良好的聲譽?！?/p>

軟件供應鏈已成為一種越來越流行的惡意軟件分發(fā)方法。例如，上周在Node.js軟件包管理器(npm)代碼庫中發(fā)現(xiàn)了一系列旨在收集Discord令牌的惡意包。這些軟件包可以用來接管毫無戒心的用戶的帳戶和服務器。

本文翻譯自：https://threatpost.com/malicious-pypi-code-packages/176971/如若轉載，請注明原文地址。

文章標題：惡意PyPI代碼包下載量達數(shù)千次
瀏覽地址：http://m.5511xx.com/article/cdjdjcs.html