PyPI代碼庫又現惡意軟件包，騰訊安全威脅情報已收錄，專家提醒碼農當心供應鏈攻擊

據Jfrog科技博客報道，在 PyPI 存儲庫中發現幾個惡意代碼，攻擊者試圖植入後門、竊取信用卡信息、竊取瀏覽器敏感數據、截屏並上傳到指定地址。相關惡意代碼在從PyPI網站刪除以前已被下載3萬次，騰訊安全專家發現國內部分鏡像庫尚存在這些惡意代碼，騰訊安全專家建議軟件開發人員從PyPI 代碼庫下載資源時，注意進行安全審覈，避免將惡意代碼安裝到本身的開發環境中。

事件背景

近年來，PyPI、GitHub等軟件存儲庫屢次曝出軟件供應鏈攻擊事件：攻擊者將內置後門的代碼上傳到公共存儲庫，其餘開發人員若是不注意對代碼進行安全審覈，就可能將有害代碼應用到本身的開發環境，繼而在分發本身開發的軟件時，將惡意程序傳播給最終用戶。

有問題的 Python 包，被發現使用 Base64 編碼進行了混淆：
• pytagora (uploaded by leonora123)
• pytagora2 (uploaded by leonora123)
• noblesse (uploaded by xin1111)
• genesisbot (uploaded by xin1111)
• are (uploaded by xin1111)
• suffer (uploaded by suffer)
• noblesse2 (uploaded by suffer)
• noblessev2 (uploaded by suffer)

PyPI 是 Python Package Index 的縮寫，是 Python 的官方第三方軟件存儲庫，諸如pip 之類的包管理器實用程序依賴它做爲包及其依賴項的默認源。將惡意代碼上傳到官方存儲庫，會致使依賴這些源（或鏡像源）部署開發環境的軟件開發者在無心中將惡意代碼傳播出去。從而構成典型的軟件供應鏈攻擊。

據瞭解，PyPI、Github及其餘公共代碼存儲庫自己並不對代碼內容進行審覈，任何開發人員都可註冊，並上傳代碼。這種機制相似於其餘社交媒體平臺，平臺方並不對內容安全性負責。

騰訊安全專家建議軟件開發人員在使用PyPI、Github等公共代碼庫分享的代碼以前，對代碼內容進行審閱，避免安裝惡意代碼。騰訊安全已將上述存在惡意代碼的文件拉黑，幫助軟件開發人員檢測風險。

惡意樣本分析：
惡意代碼使用base64方式進行編碼保存，主要爲隱藏惡意後門相應功能。

下圖中的後門代碼，試圖鏈接172.16.60.80:9009，而後執行從socket中讀取的Python代碼。

惡意代碼經過查詢sqlite數據庫竊取Chrome保存的敏感信息，進一步獲取瀏覽器中保存的全部帳號和登陸密碼。

對電腦屏幕截屏竊取敏感信息。

將盜竊的上述敏感數據上傳到以下接口地址：
hxxps://discordapp.com/api/webhooks/725066562536472720/dj6bPPENAE5SxFzMRB6m7FEPwIbrWkH_5PlSR6RG99pY73wjJ9dVoZTkOrvOQ04cZybR

騰訊安全解決方案：
PyPI惡意代碼包威脅數據已加入騰訊安全威脅情報數據庫，賦能給騰訊全系列安全產品，客戶能夠經過訂閱騰訊安全威脅情報產品，讓全網安全設備同步具有相應的威脅檢測、防護、阻斷能力。推薦政企客戶在公有云中部署騰訊雲防火牆、騰訊主機安全（雲鏡）等安全產品檢測防護相關威脅。

騰訊主機安全（雲鏡）支持對PyPI惡意代碼包落地文件進行檢測清除，客戶可登陸騰訊雲->主機安全控制檯，檢查病毒木馬告警信息，將惡意木馬一鍵隔離或刪除。推薦政企客戶經過騰訊主機安全的漏洞管理、基線管理功能對網絡資產進行安全漏洞和弱口令檢測。

騰訊iOA、騰訊電腦管家已支持查殺攔截相關惡意軟件包下載。

私有云客戶可經過旁路部署騰訊高級威脅檢測系統（御界）進行流量檢測分析，騰訊高級威脅檢測系統（御界）已支持對政企內網用戶下載相關惡意文件及惡意後門竊取敏感信息回傳等活動進行檢測。

政企客戶可經過旁路部署騰訊天幕（NIPS）實時攔截經過PyPI代碼庫投放的後門鏈接遠程服務器，完全封堵威脅流量。騰訊天幕（NIPS）基於騰訊自研安全算力算法PaaS優點，造成具有萬億級海量樣本、毫秒級響應、自動智能、安全可視化等能力的網絡邊界協同防禦體系。

IOCs
MD5
453ddb774d66e75c9b65b68306957ef8
253325d92666c6bb1160780ed85705a5
a61b6c3551d91b1e08a6daf843bcc3ab
5274c20eda8a905784a85d898a038dde

參考資料：
https://jfrog.com/blog/malici...
https://www.theregister.com/2...
https://thehackernews.com/202...