PyPI 官方仓库遭遇挖矿恶意组件投毒

来源: 投稿
2022-06-30 13:54:00

报告来源:OSCS开源安全社区

报告作者:OSCS

更新日期:2022-06-28

事件简述

2022 年 06 月 27 日,OSCS 监测发现 PyPI 官方仓库被 ivanpoopoo 上传了 arduino、beautfulsoup、randam、pilloe、pilow、selemium 等恶意组件包。

引用这些恶意组件包后会在用户电脑上下载脚本进行挖矿,该事件较为严重,OSCS 官方提醒广大开发者关注。

PIP 是 Python 包管理工具,提供了对第三方 Python 包的查找、下载、安装、卸载等功能。

攻击者 ivanpoopoo 通过模仿 pillow, selenium 等知名软件包进行钓鱼,当用户安装并调用攻击者的恶意包(如 selemium.py )时,攻击者会在用户机器上去下载并启动一个“挖矿程序”。

目前 PyPI 官方已经删除该恶意组件,但国内各大镜像站如豆瓣,清华等并未及时删除恶意组件,提醒广大开发者关注。

投毒分析

攻击者通过模仿 beautifulsoup,pillow,selenium 等知名组件上传名称相似的恶意组件进行钓鱼攻击。OSCS 通过分析攻击者上传的典型恶意组件了解攻击过程。

Pilow 的目录结构如下:

(Pilow的目录结构)

 

安装过程不会触发恶意代码,危险代码存在于 pilow/src/selemium/selemium.py 文件中。

当用户调用恶意组件时,恶意组件在初始化时会分别调用 powershell 和 sh 下载 xmrig 挖矿脚本攻击 windows 和 linux,恶意代码如下: 在这里插入图片描述

(恶意代码片段)

 

进行代码溯源发现挖矿调用的是如下地址的代码

https://github.com/MoneroOcean/xmrig\_setup

OSCS 开源安全社区建议广大用户做好资产自查以及预防工作,以免遭受黑客攻击。

处置建议

OSCS 开源安全社区建议使用 Python 的用户排查 Python 环境是否安装恶意钓鱼包,避免遭受损失,详细名单查看链接:

https://www.oscs1024.com/hd/MPS-2022-20217

时间线

6月14日,攻击者注册 PIP 账号

6月27日,攻击者上传 10 个恶意 Python 包

6月27日,OSCS 监测到本次恶意 Python 包投毒行为

了解更多

1. 免费使用 OSCS 的情报订阅服务

OSCS (开源软件供应链安全社区)会第一时间发布开源项目最新的安全风险动态,包括开源组件安全漏洞、投毒情报等信息,社区用户可通过企微、钉钉、飞书等方式进行订阅。

具体订阅方式详见:

https://www.oscs1024.com/docs/vuln-warning/intro/

2. 使用墨菲安全的 IDE 插件帮您快速检测代码安全

在 Jetbrains IDE 插件市场搜索 “murphysec” 安装检测插件,一键检测一键修复

3. 其他

社区官网:

https://www.oscs1024.com

相关文档:

https://www.oscs1024.com/docs/oscs/

开源项目:

https://github.com/murphysecurity/murphysec

展开阅读全文
2 收藏
分享
7 评论
2 收藏
分享
返回顶部
顶部