網絡安全研究人員近日警告，Python包索引（PyPI）倉庫用戶正成為惡意攻擊的目標。攻擊者通過偽裝成與“時間”相關的工具包，實則隱藏了竊取敏感數據（如云訪問令牌）的功能。

惡意包種類及下載量

軟件供應鏈安全公司ReversingLabs表示，他們發現了兩組共計20個惡意包，累計下載量超過1.41萬次。具體包及其下載量如下：

• snapshot-photo（2,448次下載）
• time-check-server（316次下載）
• time-check-server-get（178次下載）
• time-server-analysis（144次下載）
• time-server-analyzer（74次下載）
• time-server-test（155次下載）
• time-service-checker（151次下載）
• aclient-sdk（120次下載）
• acloud-client（5,496次下載）
• acloud-clients（198次下載）
• acloud-client-uses（294次下載）
• alicloud-client（622次下載）
• alicloud-client-sdk（206次下載）
• amzclients-sdk（100次下載）
• awscloud-clients-core（206次下載）
• credential-python-sdk（1,155次下載）
• enumer-iam（1,254次下載）
• tclients-sdk（173次下載）
• tcloud-python-sdks（98次下載）
• tcloud-python-test（793次下載）

惡意包的運作機制

第一組惡意包主要用于將數據上傳到攻擊者的基礎設施中，而第二組則包含為阿里云、亞馬遜云服務及騰訊云等平臺實現云客戶端功能的包。此外，這些包還通過“時間”相關功能竊取云服務密鑰。截至本文撰寫時，所有已識別的惡意包均已從PyPI倉庫中移除。

進一步分析顯示，其中三個包（acloud-client、enumer-iam和tcloud-python-test）已被列為GitHub項目“accesskey_tools”的依賴項。該項目被復刻42次，啟動519次，具有一定的流行度。

根據源代碼提交記錄，tcloud-python-test包于2023年11月8日被引入項目，表明其自那時起便可在PyPI上下載。根據pepy.tech的統計，該包至今已被下載793次。

供應鏈安全威脅日益嚴峻

這一事件曝光之際，Fortinet FortiGuard Labs表示，他們在PyPI和npm倉庫中發現了數千個可疑包，其中一些包嵌入的安裝腳本被設計為在安裝過程中部署惡意代碼或與外部服務器通信。

Jenna Wang指出：“可疑URL是潛在惡意包的關鍵指標，它們通常用于下載額外負載或與命令控制（C&C）服務器建立通信，從而使攻擊者能夠控制受感染系統。在974個包中，此類URL與數據竊取、進一步下載惡意軟件及其他惡意行為的風險相關。因此，審查和監控包依賴中的外部URL對于防止漏洞利用至關重要。”