聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
首批恶意包在上周末上传到 PyPI 和 NPM 仓库中,尤其针对 macOS 用户。Phylum 公司最初发现,PyPI 包旨在收割受害者的机器信息并将其提取到受攻击者控制的服务器。该代码还发布了具有其它恶意 payload 的后续版本。然而,如果受害者机器运行的是 macOS,则该恶意包仅会收集信息。
同样,作为该攻击一部分而发布的首个 NPM 包旨在收集 macOS 设备的系统和网络数据并提取到远程服务器中。如果并非在 macOS 上运行,则代码会停止执行。
RubyGems 包也遵循了类似模式,即收集系统数据并发送到远程服务器,仅针对 macOS 系统。
Phylum 公司还指出,所有包都在和同样的 IP 地址通信,发送收集的系统信息,而具有相似版本的多个包会在 PyPI、NPM 和 RubyGems 仓库中发布,说明它们之间明显存在关联性。
Phylum 提到,“这些包的作者正在对开发人员发动大规模攻击,其最终目标尚不明朗。”该公司已向各个生态系统报送了所有已识别出的程序包,并表示 PyPI 已证实所有包都已删除。
大约一周前,该公司发现了针对 Rust 开发人员的攻击活动。该攻击利用的是位于 Crates.io Rust 注册表中的恶意包,而这次新的攻击活动证明开源包注册表中的恶意软件正在变得越来越普遍。
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~