Python 软件包索引(PyPI)软件仓库的管理员已经隔离了 “aiocpa ”软件包,因为该软件包在新的更新中包含了通过 Telegram 外泄私钥的恶意代码。
该软件包被描述为同步和异步 Crypto Pay API 客户端。该软件包最初于 2024 年 9 月发布,迄今已被下载 12100 次。
将 Python 库隔离后,客户端就无法继续安装,其维护者也无法对其进行修改。
网络安全机构Phylum上周分享了软件供应链攻击的细节,该机构称,软件包的作者在PyPI上发布了恶意更新,同时在GitHub的库中保持清洁,试图逃避检测。
目前还不清楚最初的开发者是恶意更新的幕后黑手,还是他们的证书被其他威胁行为者泄露。
恶意活动的迹象首次出现在 0.1.13 版本的库中,其中包括对 Python 脚本 “sync.py ”的修改,该脚本的目的是在安装软件包后立即解码并运行一段混淆代码。
Phylum说:“这个特殊的blob被递归编码并压缩了50次,”Phylum补充说,它被用来使用Telegram机器人捕获并传输受害者的Crypto Pay API令牌。
值得注意的是,Crypto Pay 被宣传为基于 Crypto Bot(@CryptoBot)的支付系统,允许用户接受加密货币支付,并使用 API 向用户转账。
这一事件意义重大,尤其是因为它凸显了在下载软件包之前扫描其源代码的重要性,而不仅仅是检查其相关的软件仓库。
“正如这里所证明的那样,攻击者可以在向生态系统分发恶意软件包的同时,故意维护干净的源代码库,”该公司表示,并补充说,“这次攻击提醒我们,软件包之前的安全记录并不能保证其持续的安全性。”
软件包 aiocpa 已正式从 PyPI 软件源中删除。
1.本站内容仅供参考,不作为任何法律依据。用户在使用本站内容时,应自行判断其真实性、准确性和完整性,并承担相应风险。
2.本站部分内容来源于互联网,仅用于交流学习研究知识,若侵犯了您的合法权益,请及时邮件或站内私信与本站联系,我们将尽快予以处理。
3.本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
4.根据《计算机软件保护条例》第十七条规定“为了学习和研究软件内含的设计思想和原理,通过安装、显示、传输或者存储软件等方式使用软件的,可以不经软件著作权人许可,不向其支付报酬。”您需知晓本站所有内容资源均来源于网络,仅供用户交流学习与研究使用,版权归属原版权方所有,版权争议与本站无关,用户本人下载后不能用作商业或非法用途,需在24个小时之内从您的电脑中彻底删除上述内容,否则后果均由用户承担责任;如果您访问和下载此文件,表示您同意只将此文件用于参考、学习而非其他用途,否则一切后果请您自行承担,如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。
5.本站是非经营性个人站点,所有软件信息均来自网络,所有资源仅供学习参考研究目的,并不贩卖软件,不存在任何商业目的及用途
暂无评论内容