PyPI 官方仓库遭遇挖矿恶意组件投毒
报告来源:OSCS开源安全社区
报告作者:OSCS
更新日期:2022-06-28
事件简述
2022 年 06 月 27 日,OSCS 监测发现 PyPI 官方仓库被 ivanpoopoo 上传了 arduino、beautfulsoup、randam、pilloe、pilow、selemium 等恶意组件包。
引用这些恶意组件包后会在用户电脑上下载脚本进行挖矿,该事件较为严重,OSCS 官方提醒广大开发者关注。
PIP 是 Python 包管理工具,提供了对第三方 Python 包的查找、下载、安装、卸载等功能。
攻击者 ivanpoopoo 通过模仿 pillow, selenium 等知名软件包进行钓鱼,当用户安装并调用攻击者的恶意包(如 selemium.py )时,攻击者会在用户机器上去下载并启动一个“挖矿程序”。
目前 PyPI 官方已经删除该恶意组件,但国内各大镜像站如豆瓣,清华等并未及时删除恶意组件,提醒广大开发者关注。
投毒分析
攻击者通过模仿 beautifulsoup,pillow,selenium 等知名组件上传名称相似的恶意组件进行钓鱼攻击。OSCS 通过分析攻击者上传的典型恶意组件了解攻击过程。
Pilow 的目录结构如下:
(Pilow的目录结构)
安装过程不会触发恶意代码,危险代码存在于 pilow/src/selemium/selemium.py 文件中。
当用户调用恶意组件时,恶意组件在初始化时会分别调用 powershell 和 sh 下载 xmrig 挖矿脚本攻击 windows 和 linux,恶意代码如下:
(恶意代码片段)
进行代码溯源发现挖矿调用的是如下地址的代码
OSCS 开源安全社区建议广大用户做好资产自查以及预防工作,以免遭受黑客攻击。
处置建议
OSCS 开源安全社区建议使用 Python 的用户排查 Python 环境是否安装恶意钓鱼包,避免遭受损失,详细名单查看链接:
时间线
6月14日,攻击者注册 PIP 账号
6月27日,攻击者上传 10 个恶意 Python 包
6月27日,OSCS 监测到本次恶意 Python 包投毒行为
了解更多
1. 免费使用 OSCS 的情报订阅服务
OSCS (开源软件供应链安全社区)会第一时间发布开源项目最新的安全风险动态,包括开源组件安全漏洞、投毒情报等信息,社区用户可通过企微、钉钉、飞书等方式进行订阅。
具体订阅方式详见:
2. 使用墨菲安全的 IDE 插件帮您快速检测代码安全
在 Jetbrains IDE 插件市场搜索 “murphysec” 安装检测插件,一键检测一键修复
3. 其他
社区官网:
相关文档:
开源项目:
