PyPI 用于帮助开发人员找到并安装 Python 包。PyPI仓库中含有数千个程序包，是对威胁行动者具有吸引力的目标，后者常常上传 typosquatted 或虚假程序包来攻陷软件开发人员以及实施潜在的供应链攻击活动。

该恶意活动迫使 PyPI 管理员在今天早些时候宣布称，已暂停所有新用户注册，以便缓解恶意活动。

Checkmarx 公司发布报告称，威胁行动者从昨天开始就上传了模仿合法项目名称的 PyPI 365程序包。这些程序包中包括 “setup.py” 文件中的恶意代码，一旦安装就会执行，试图从远程服务器中检索额外的 payload。为逃避检测，恶意代码被通过 Fernet 模块加密，而远程资源的 URL 在需要时被动态构建。最终阶段的 payload 是拥有持久能力的信息窃取器，针对存储在 web 浏览器中的数据如登录密码、cookie以及密币扩展。

研究人员给出了完整的恶意条目清单，其中包括很多合法包的多种 typosquatting 变体。Check Point 公司发布一份报告提到，该恶意包清单超过500条且在两个阶段部署。研究人员指出每个程序包都源自具有唯一姓名和邮件的唯一维护人员账户。

Check Point 公司解释称，“值得注意的是，每个维护人员账户仅上传一个程序包，表明在协调攻击中使用了自动化。”研究人员表示所有条目都拥有同样的版本号，包含相同的恶意代码以及姓名似乎通过随机化流程生成。

这起攻击事件强调了软件开发人员和包维护人员利用开源仓库严格验证他们在项目中所用组件的真实性和安全性。这并非 PyPI 首次采取如此激进的步骤来保护社区免受恶意提交的困扰。在去年5月20日，PyPI 仓库的维护人员就采取了相同的措施。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~