11个恶意PyPI Python库窃取Discord令牌并安装shell被抓获

网络安全研究人员发现了多达11个恶意Python软件包，这些软件包已从Python软件包索引（PyPI）存储库中累计下载超过41000次，可被利用来窃取不一致访问令牌、密码，甚至发起依赖混淆攻击。

The Python packages have since been removed from the repository following responsible disclosure by DevOps firm JFrog —

• 重要的
• pptest
• 仪表板
• 猫头鹰月亮
• 不和谐的安全
• trfor的ab
• 10Cent10/10Cent11
• yandex yt
• yiffparty

发现其中两个软件包（“importantpackage”、“10Cent10”及其变体）在一台受损机器上获得了一个反向外壳，使攻击者能够完全控制系统。另外两个包“ipboards”和“trrfab”伪装成合法的依赖项，旨在利用一种称为依赖项混淆或名称空间混淆的技术自动导入。

与排版攻击不同，恶意参与者故意发布带有拼写错误的流行变体名称的软件包，依赖性混淆通过向公共存储库上传大量有毒组件来实现，这些组件的名称与合法的内部私有软件包相同，但版本更高，有效地迫使目标的软件包管理器下载并安装恶意模块。

依赖性“importantpackage”还因其新颖的过滤机制而脱颖而出，该机制可规避基于网络的检测，包括使用Fastly的内容交付网络（CDN）将其与攻击者控制的服务器的通信屏蔽为与pypi的通信[。]组织。

恶意代码“导致HTTPS请求被发送到pypi.python[.]JFrog研究人员安德烈·波尔科夫尼琴科和沙查尔·梅纳什在周四发布的一份报告中解释说：“org（它与对PyPI的合法请求无法区分），后来CDN将其作为HTTP请求重新路由到[命令和控制]服务器。”。

最后，发现了“IPBoard”和第五个名为“pptest”的包，它们使用DNS隧道作为数据过滤方法，依赖DNS请求作为受害者机器和远程服务器之间的通信通道。JFrog表示，这是首次在上传到PyPI的恶意软件中发现这种技术。

针对节点包管理器（Node Package Manager，NPM）JavaScript注册表、PyPI和RubyGems等流行代码注册表的努力已经司空见惯，成为一系列攻击的新前沿。

“包管理器是无意安装恶意代码的一个越来越强大的载体，[…；]JFrog的高级研究总监梅纳什说：“攻击者的手段越来越老练。”这些恶意软件包中使用的高级规避技术，例如新颖的Exfilter，甚至DNS隧道，表明了一种令人不安的趋势，即攻击者在攻击开源软件时变得更加隐蔽。"

Indeed, after at least three NPM developer accounts were compromised by bad actors to insert malicious code into popular packages "ua-parser-js," "coa," and "rc," GitHub earlier this week outlined plans to tighten the security of the NPM registry by requiring two-factor authentication (2FA) for maintainers and admins starting in the first quarter of 2022.

该软件开发和版本控制平台披露，它解决了NPM注册表中的多个漏洞，这些漏洞可能泄露了私人软件包的名称，并允许攻击者绕过身份验证，在不需要任何授权的情况下发布任何软件包的版本。