OSCS 发现 PyPI 官方仓库遭遇150+恶意包疯狂投毒（欧尚超市几点开门营业）

OSCS 发现 PyPI 官方仓库遭遇150+恶意包疯狂投毒（欧尚超市几点开门营业）

报告来源：OSCS开源安全社区（oscs1024.com） 报告作者：OSCS 更新日期：2022-06-27

事件简述

2022年06月23日，OSCS 开源安全社区监测发现 PyPI 官方仓库被攻击者上传了 ​​agoric-sdk​​​ ​​datashare​​​ ​​datadog-agent​​ 等150+个恶意钓鱼包，OSCS官方提醒广大开发者关注。

PyPI 是 Python 的包管理工具，提供了对第三方 Python 包的查找、下载、安装、卸载等功能。 攻击者 mega707通过模仿 ​​agoric​​​， ​​datadog​​ 等知名软件包进行钓鱼，当用户安装攻击者的恶意包时，攻击者可窃取用户信息，环境地址等敏感信息上传至指定服务器。

本次投毒的代码虽然没有执行恶意的逻辑，但大批量进行投毒测试是一种非常恶劣的行为。

投毒分析

恶意包通过如下过程进行攻击： Datadog（云监控厂商）官方分别在 GitHub 上提供了仓库名称为​​datadog-agent​​​的开源代码，以及在 PyPI 上提供了名称为 ​​datadog​​ 安装包。

当用户安装监控软件 ​​datadog​​​ 时，容易不区分来源下载到攻击者上传的名为​​datadog-agent​​​的 Python 包（官方 Python 包名称为​​datadog​​ ）

恶意代码安装时会将用户名和安装路径，系统名称上传到远程服务器。

OSCS 开源安全社区查询​​datadog-agent​​ 包的下载数量，发现在上传后仅6小时就有 225次 的下载。截止到6月27日，攻击者 mega707 一共上传了 150+ 个钓鱼包。

进行代码溯源发现钓鱼包使用的是如下地址的代码

​​ https://github.com/007divyachawla/python-dependency-confusion-attack ​​

OSCS 开源安全社区建议广大用户做好资产自查以及预防工作，以免遭受黑客攻击。

处置建议

OSCS 开源安全社区建议使用 Python 的用户时排查 Python 环境是否安装恶意钓鱼包，避免遭受损失。 详细名单查看链接：

​​ https://oscs1024.com/hd/MPS-2022-20159 ​​

时间线

6月6日，攻击者注册 pip 账号 mega707 6月23日，攻击者上传 93 个恶意 Python 包 6月23日，OSCS 监测到本次恶意 Python 包投毒行为 6月27日，OSCS 再次监测到本次投毒的恶意 Python 包数量增加到153个。

了解更多

1. 免费使用 OSCS 的情报订阅服务

OSCS （开源软件供应链安全社区）会第一时间发布开源项目最新的安全风险动态，包括开源组件安全漏洞、投毒情报等信息，社区用户可通过企微、钉钉、飞书等方式进行订阅。 具体订阅方式详见：

​​ https://oscs1024.com/docs/vuln-warning/intro/ ​​

2. 使用墨菲安全的 IDE 插件帮您快速检测代码安全

在 Jetbrains IDE 插件市场搜索 ​​murphysec​​ 安装检测插件，一键检测，快速修复。

3. 其他

社区官网： https://oscs1024.com

相关文档： https://github.com/murphysecurity/murphysec

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。