專註於軟件供應鏈安全管理的研究公司 Sonatype,剛剛在官方的 Python 軟件存儲庫(PyPI)上發現了六個包含不同惡意軟件的 Python 包。這些惡意內容被藏於 setup.py 的安裝說明文件中,繼而導致加密貨幣挖礦類惡意軟件被下載並安裝到受害者的系統上。
Nexus 防火牆組件的分析過程(圖自:Sonatype)
過去數月,這幾款惡意軟件包被下載量將近 5000 次,且發布者使用了 nedog123 的用戶名。
learninglib 中包含的 maratlib 依賴項
以下是對應的六款惡意軟件的名稱與下載數:
● maratlib:2371
● maratlib1:379
● matplatlib-plus:913
● mllearnlib:305
● mplatlib:318
● learninglib:626
LKEK 也指向了 maratlib 依賴項
其中一些明顯利用了錯誤的單詞拼接方法,並且故意碰瓷 PyPI 上熱門的機器學習包文件(比如用李鬼 mplatlib 來假冒官方的 matplotlib)。
maratlib 代碼中包含了嚴重的混淆
儘管此類攻擊似乎只是為了竊取部分系統資源,但供應鏈安全攻擊還是讓 Sonatype 感到十分緊張。
0.6 代碼中高亮顯示的 GitHub 網址
即便代碼被嚴重加花、並從 GitHub 上調用了其它包,但 Sonatype 還是詳細解釋了他們是如何檢測到加密貨幣挖礦類惡意軟件的。
aza2.sh 中的 Bash 腳本,也被發現了某些版本的 maratlib 。
最後,Sonatype 指出,此類惡意軟件不大可能影響大多數運行高級反病毒防護軟件的普通用戶,而是更加針對那些擁有高性能 Linux 機器的機器學習研究人員們。