由 dawei 目前有黑客发起了新一波 PyPI“山寨”恶意软件包攻击,黑客主要攻击目标是使用阿里云、亚马逊 AWS 的用户。
安全公司便监测到有黑客在 PyPI 官方仓库中“投毒”,上传一系列恶意软件包,那些被怀疑含有病毒的软件套件中,不可能会有让使用者一安装完就自行启动的恶意程式码存在;必须由使用者唤起某些特殊功能的操作后,才会被激活。
Checkmarx 认为,由于许多安全分析软件只会扫描自动运行的恶意代码,难以查到此类“只能通过特定函数启动恶意代码”的软件包。
安全公司发现,在这款名为“Telethon2”的恶意软件包中,黑客并非令恶意代码安装后就启动,而是通过在 telethon / client / messages.py 嵌入两行指令,使得用户在传送“信息”时,才会启动相关恶意代码。
由于开发者在挑选软件包的过程,往往会参考 GitHub 统计的数据,攻击者刻意将 PyPI 中的“山寨包”链接 GitHub 上面的相关项目中,此举导致第三方支付开发者可能误以为支付宝的相关软件包已经受到外界不可接受的欢迎,从而降低第三方支付的戒心。