451个PyPI包被指安装Chrome扩展窃取密币

Bill Toulas 代码卫士 2023-02-18

收录于合集

#供应链安全 233 个

#开源 356 个

聚焦源代码安全，网罗国内外最新资讯！

专栏·供应链安全

数字化时代，软件无处不在。软件如同社会中的“虚拟人”，已经成为支撑社会正常运转的最基本元素之一，软件的安全性问题也正在成为当今社会的根本性、基础性问题。

随着软件产业的快速发展，软件供应链也越发复杂多元，复杂的软件供应链会引入一系列的安全问题，导致信息系统的整体安全防护难度越来越大。近年来，针对软件供应链的安全攻击事件一直呈快速增长态势，造成的危害也越来越严重。

为此，我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯，分析供应链安全风险，提供缓解建议，为供应链安全保驾护航。

注：以往发布的部分供应链安全相关内容，请见文末“推荐阅读”部分。

Phylum公司表示，超过450个恶意PyPI python 程序包安装恶意浏览器扩展，劫持通过基于浏览器的密币钱包和网站进行的密币交易。

该攻击活动始于2022年11月，最初仅有27个恶意PyPI包参与，而现在恶意包数量已达到450个。这些恶意包通过细微改动假冒热门包即typosquatting方式，欺骗软件开发人员下载。Phylum 公司发布报告解释称，除了扩大攻击活动规模外，攻击者现在还利用一种新型的混淆方式实施攻击。

01新一轮的typoquatting攻击潮

其中一些遭假冒的流行包包括bitcoinlib、ccxt、cryptocompare、cryptofeed、freqtrade、selenium、solana、vyper、websockets、yfinance、pandas、matplotlib、aiohttp、beautifulsoup、tensorflow、selenium、scrapy、 colorama、scikit-learn、pytorch、pygame和 pyinstaller。

攻击者为如上热门包使用13到38种typosquatting版本，试图覆盖将导致下载恶意包的一系列潜在输入错误。为躲避检测，攻击者利用未出现在2022年11月攻击潮的一种新型混淆方式，即在函数和变量标志符中使用随机的16位汉字标志组合。

分析人员发现，代码使用内置的Python函数和一系列算数运算生成字符串。因此，虽然混淆创建了看上去很强大的结果但不是太难以攻破。报告提到，“虽然这种混淆构建了及其复杂和高度混淆的代码，但从动态角度看并不高明。Python是解释型语言，代码必须运行。我们只要评估这些实例，就会获悉代码到底在做什么。”

02恶意浏览器扩展

为了劫持密币交易，恶意PyPI包将在文件夹 '%AppData%\Extension' 中创建恶意Chromuim浏览器扩展，这种手法类似于2022年11月的攻击手法。之后，它们会搜索和谷歌Chrome、微软 Edge、Brave和Opera相关的Windows快捷键并劫持，通过命令行参数 “—load-extension”来加载恶意浏览器扩展。例如，Chrome 快捷键会被劫持到 "C:\Program Files\Google\Chrome\Application\chrome.exe --load-extension=%AppData%\\Extension"。当web 浏览器启动时，该扩展将加载，而恶意JavaScript将监控复制到Windows剪贴板上的密币地址。当检测到密币地址时，该浏览器扩展将通过受控的硬编码地址取而代之。攻击者通过这种方式将密币交易额发送到攻击者的钱包而非本来的收件人。

在这一新型攻击活动中，攻击者扩大了受支持钱包的数量，当前增加了Bitcoinm Ethereum、TRON、Binance Chain、Litecoin、Ripple、Dash、Bitcoin Cash 和 Cosmos 的密币地址。

这些恶意包名称如下：

代码卫士试用地址：https://codesafe.qianxin.com

开源卫士试用地址：https://oss.qianxin.com

推荐阅读

在线阅读版：《2022中国软件供应链安全分析报告》全文

奇安信入选全球《软件成分分析全景图》代表厂商

深度分析：美国多角色参与的软件供应链安全保护措施

在线阅读版：《2021中国软件供应链安全分析报告》全文

热门开源Dompdf PHP 库中存在严重漏洞

命令注入漏洞可导致思科设备遭接管，引发供应链攻击

PyTorch 披露恶意依赖链攻陷事件