日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
PyPI危機(jī):下載超3萬次的惡意軟件包、GitHubActions高危漏洞

[[415263]]

成都創(chuàng)新互聯(lián)公司是一家專注于網(wǎng)站設(shè)計(jì)、網(wǎng)站制作與策劃設(shè)計(jì),懷寧網(wǎng)站建設(shè)哪家好?成都創(chuàng)新互聯(lián)公司做網(wǎng)站,專注于網(wǎng)站建設(shè)十年,網(wǎng)設(shè)計(jì)領(lǐng)域的專業(yè)建站公司;建站業(yè)務(wù)涵蓋:懷寧等地區(qū)。懷寧做網(wǎng)站價(jià)格咨詢:13518219792

近日,Python的官方第三方軟件存儲(chǔ)庫PyPI中發(fā)現(xiàn)了新的惡意庫——能夠在受感染設(shè)備上提取信用卡號(hào)和開啟后門。

對(duì)此,8個(gè)下載次數(shù)超過3萬次的Python軟件包因含有惡意代碼而從PyPI門戶網(wǎng)站上被刪除。

根據(jù)分析發(fā)現(xiàn),一個(gè)名為noblesse的軟件包和五個(gè)變體會(huì)在Windows系統(tǒng)上搜尋不一致的身份驗(yàn)證令牌和瀏覽器存儲(chǔ)的信用卡號(hào),并將它們轉(zhuǎn)移到遠(yuǎn)程系統(tǒng),而另一個(gè)名為pytagora的變體將執(zhí)行遠(yuǎn)程系統(tǒng)提供的任意Python代碼。據(jù)悉,這些惡意軟件包都使用了簡(jiǎn)單的混淆技術(shù)。

nobleesse2惡意軟件的主代碼

此次事件再次凸顯了軟件包庫如何演變?yōu)楣?yīng)鏈攻擊的熱門目標(biāo)。

無獨(dú)有偶,根據(jù)最新消息,PyPI團(tuán)隊(duì)又修補(bǔ)了平臺(tái)中的一個(gè)遠(yuǎn)程代碼執(zhí)行漏洞,該漏洞有可能被用來劫持整個(gè)Python庫。

漏洞由信息安全研究員RyotaK上報(bào),事實(shí)上,RyotaK總共發(fā)現(xiàn)了三個(gè)bug:

  • PyPI上的舊文檔刪除漏洞:允許攻擊者刪除不受其控制的項(xiàng)目的文檔
  • PyPI上的角色刪除漏洞:允許攻擊者刪除不受其控制的項(xiàng)目角色
  • PyPI的GitHub Actions工作流程中的漏洞:攻擊者可能會(huì)獲得對(duì)該pypa/warehouse存儲(chǔ)庫的寫入權(quán)限 ,導(dǎo)致在pypi.org上執(zhí)行任意代碼

其中,圍繞 PyPI 源存儲(chǔ)庫的GitHub Actions 工作流程的漏洞最為嚴(yán)重,可以使用 GitHub Actions將具有寫入權(quán)限的令牌泄漏到pypa/warehouse,并且可能被用來更改更多包含惡意內(nèi)容的任意代碼。目前,PyPI 維護(hù)者已經(jīng)發(fā)布了針對(duì)該漏洞的修復(fù)程序。

隨著npm、PyPI 和 RubyGems等流行存儲(chǔ)庫成為攻擊的目標(biāo),一些開發(fā)人員依舊完全地信任存儲(chǔ)庫并從這些來源安裝軟件包。但是正如我們?cè)谥暗腜yPI 研究中所看到的,公共軟件存儲(chǔ)庫中缺乏自動(dòng)化安全控制,即使是沒有經(jīng)驗(yàn)的攻擊者也可以將它們作為傳播惡意軟件的平臺(tái),無論是通過域名搶注、依賴混淆還是簡(jiǎn)單的社會(huì)工程攻擊,都屢試不爽。

警惕供應(yīng)鏈安全,依舊需要開發(fā)者的時(shí)刻警惕和項(xiàng)目運(yùn)營(yíng)者的長(zhǎng)期努力。

 


本文題目:PyPI危機(jī):下載超3萬次的惡意軟件包、GitHubActions高危漏洞
標(biāo)題路徑:http://m.5511xx.com/article/dpcoish.html