产品中心
产品中心
基础安全
T-Sec 主机安全
容器安全服务 TCSS
T-Sec Web应用防火墙
T-Sec 云防火墙
T-Sec 安全运营中心
T-Sec iOA零信任安全管理系统
业务安全
T-Sec 天御验证码
T-Sec 天御文本内容安全
T-Sec 天御视频内容安全
T-Sec 全栈式风控引擎
T-Sec 手游安全
T-Sec 小程序安全
T-Sec 应用合规平台
数据安全
T-Sec 堡垒机
T-Sec 数据安全审计
T-Sec 云访问安全代理
T-Sec 凭据管理系统
T-Sec 密钥管理系统
T-Sec 云加密机
T-Sec 数据安全治理中心
安全服务
T-Sec 安全专家服务
一站式等保服务
T-Sec 安全托管服务
渗透测试服务
应急响应服务
重要时期安全保障服务
安全攻防对抗服务
了解全部安全产品→
解决方案
解决方案
通用解决方案
等保合规安全解决方案
直播安全解决方案
数据安全解决方案
品牌保护解决方案
高防云主机安全解决方案
腾讯安心平台解决方案
行业场景方案
游戏安全场景方案
电商安全场景方案
智慧零售场景方案
智慧出行场景方案
安全专项解决方案
勒索病毒专项解决方案
重大保障安全解决方案
NEW
最新动态
威胁研究
合作伙伴
更多
更多
关于我们
腾讯安全介绍
荣誉认证
帮助中心
帮助文档
考试认证
在线课堂
证书查询
联系我们
产品方案咨询
寻求市场合作
友情链接
腾讯云

威胁研究

正文

PyPI代码库又现恶意软件包，腾讯安全威胁情报已收录，专家提醒码农小心供应链攻击

2021-08-04 07:27:42

在 PyPI 存储库中发现几个恶意代码，攻击者试图植入后门、窃取信用卡信息、窃取浏览器敏感数据、截屏并上传到指定地址。相关恶意代码在从PyPI网站删除之前已被下载3万次，腾讯安全专家发现国内部分镜像库尚存在这些恶意代码，腾讯安全专家建议软件开发人员从PyPI 代码库下载资源时，注意进行安全审核，避免将恶意代码安装到自己的开发环境中。

据Jfrog科技博客报道，在 PyPI 存储库中发现几个恶意代码，攻击者试图植入后门、窃取信用卡信息、窃取浏览器敏感数据、截屏并上传到指定地址。相关恶意代码在从PyPI网站删除之前已被下载3万次，腾讯安全专家发现国内部分镜像库尚存在这些恶意代码，腾讯安全专家建议软件开发人员从PyPI 代码库下载资源时，注意进行安全审核，避免将恶意代码安装到自己的开发环境中。

事件背景

近年来，PyPI、GitHub等软件存储库多次曝出软件供应链攻击事件：攻击者将内置后门的代码上传到公共存储库，其他开发人员如果不注意对代码进行安全审核，就可能将有害代码应用到自己的开发环境，继而在分发自己开发的软件时，将恶意程序传播给最终用户。

有问题的 Python 包，被发现使用 Base64 编码进行了混淆：

· pytagora (uploaded by leonora123)

· pytagora2 (uploaded by leonora123)

· noblesse (uploaded by xin1111)

· genesisbot (uploaded by xin1111)

· are (uploaded by xin1111)

· suffer (uploaded by suffer)

· noblesse2 (uploaded by suffer)

· noblessev2 (uploaded by suffer)

PyPI 是 Python Package Index 的缩写，是 Python 的官方第三方软件存储库，诸如pip 之类的包管理器实用程序依赖它作为包及其依赖项的默认源。将恶意代码上传到官方存储库，会导致依赖这些源（或镜像源）部署开发环境的软件开发者在无意中将恶意代码传播出去。从而构成典型的软件供应链攻击。

据了解，PyPI、Github及其他公共代码存储库本身并不对代码内容进行审核，任何开发人员均可注册，并上传代码。这种机制类似于其他社交媒体平台，平台方并不对内容安全性负责。

腾讯安全专家建议软件开发人员在使用PyPI、Github等公共代码库分享的代码之前，对代码内容进行审阅，避免安装恶意代码。腾讯安全已将上述存在恶意代码的文件拉黑，帮助软件开发人员检测风险。

恶意样本分析：

恶意代码使用base64方式进行编码保存，主要为隐藏恶意后门相应功能。

${xunruicms_img_title}$

下图中的后门代码，试图连接172.16.60.80:9009，然后执行从socket中读取的Python代码。

${xunruicms_img_title}$

恶意代码通过查询sqlite数据库窃取Chrome保存的敏感信息，进一步获取浏览器中保存的所有账号和登录密码。

${xunruicms_img_title}$

对电脑屏幕截屏窃取敏感信息。

${xunruicms_img_title}$

将盗窃的上述敏感数据上传到如下接口地址：

hxxps://discordapp.com/api/webhooks/725066562536472720/dj6bPPENAE5SxFzMRB6m7FEPwIbrWkH_5PlSR6RG99pY73wjJ9dVoZTkOrvOQ04cZybR

${xunruicms_img_title}$

腾讯安全解决方案：

PyPI恶意代码包威胁数据已加入腾讯安全威胁情报数据库，赋能给腾讯全系列安全产品，客户可以通过订阅腾讯安全威胁情报产品，让全网安全设备同步具备相应的威胁检测、防御、阻断能力。推荐政企客户在公有云中部署腾讯云防火墙、腾讯主机安全（云镜）等安全产品检测防御相关威胁。

腾讯主机安全（云镜）支持对PyPI恶意代码包落地文件进行检测清除，客户可登录腾讯云->主机安全控制台，检查病毒木马告警信息，将恶意木马一键隔离或删除。推荐政企客户通过腾讯主机安全的漏洞管理、基线管理功能对网络资产进行安全漏洞和弱口令检测。

腾讯云防火墙已支持对PyPI恶意代码包下载、恶意后门联网上传数据等高危活动进行检测，腾讯云防火墙内置虚拟补丁防御机制，可积极防御某些高危且使用率较高的漏洞利用，完美拦截攻击者利用高危漏洞发起的恶意攻击行为。

腾讯iOA、腾讯电脑管家已支持查杀拦截相关恶意软件包下载。

${xunruicms_img_title}$

私有云客户可通过旁路部署腾讯高级威胁检测系统（御界）进行流量检测分析，腾讯高级威胁检测系统（御界）已支持对政企内网用户下载相关恶意文件及恶意后门窃取敏感信息回传等活动进行检测。

政企客户可通过旁路部署腾讯天幕（NIPS）实时拦截通过PyPI代码库投放的后门连接远程服务器，彻底封堵威胁流量。腾讯天幕（NIPS）基于腾讯自研安全算力算法PaaS优势，形成具备万亿级海量样本、毫秒级响应、自动智能、安全可视化等能力的网络边界协同防护体系。

IOCs

MD5

453ddb774d66e75c9b65b68306957ef8
253325d92666c6bb1160780ed85705a5
a61b6c3551d91b1e08a6daf843bcc3ab
5274c20eda8a905784a85d898a038dde

参考资料：

https://jfrog.com/blog/malicious-pypi-packages-stealing-credit-cards-injecting-code/

https://www.theregister.com/2021/07/28/python_pypi_security

https://thehackernews.com/2021/07/several-malicious-typosquatted-python.html

扫描以下二维码关注“腾讯安全威胁情报中心”公众号，掌握最新的网络安全威胁情报。

在线咨询

方案定制