整理
Carol
相信下载并使用开源软件包一定是每个开发者的必备技能,毕竟站在巨人的肩膀上看风景才能看得最远,然而,你使用的开源代码一定是安全的吗?
近日,一名安全研究人员发现,很多在Python官方软件包存储库(PyPI)上下载了大约5,次的软件竟然是假冒软件!同时这些假冒软件包还暗含秘密代码,能在被感染机器上安装加密软件。
打错一个字母,私人计算机竟一不小心称为”矿机“?
来自安全公司Sonatype的研究员AxSharma报告说,在PyPI存储库中,可用的恶意软件包泛滥。这些恶意软件包的名称通常模仿了那些已经可用的、合法的、而且被广泛使用的软件包的名称。
因此当用户不小心输入错误名称,例如将合法且流行的包matplotlib的名称输入为“mplatlib”或“maratlib”而不是时,就成功落入了所谓typosquattingattacks(域名抢注攻击)的圈套。
Sharma发现了六个会偷偷在用户计算机上安装加密挖矿软件的软件包,这些软件不仅会使用受害者被感染的计算机来挖矿,还会将挖矿所得秘密存入攻击者的钱包。所有这六个软件都是由PyPI用户名nedog的人发布的,最早的发布时间是今年4月份。包名称和下载号分别是:
maratlib:2,
maratlib1:
matplatlib-plus:
mllearnlib:
mplatlib:
learninglib:
(现已搜索不到以上软件包)
这些包的名称与许多被广泛使用的软件包相似但又不完全一样,用户很容易被”忽悠“。包中的恶意代码藏在每个包的setup.py文件中,这些代码会导致受感染的计算机使用ubqminer或T-Rex加密矿工来挖掘数字货币并将其存入以下