安全公司:黑客正通过“山寨”软件包,对阿里云及亚马逊 AWS 用户进行攻击

安全
安全公司发现,在这款名为“Telethon2”的恶意软件包中,黑客并非令恶意代码安装后就启动,而是通过在 telethon / client / messages.py 嵌入两行指令,使得用户在传送“信息”时,才会启动相关恶意代码。

10 月 23 日消息,安全公司 Checkmarx 发现,目前有黑客发起了新一波 PyPI“山寨”恶意软件包攻击,黑客主要攻击目标是使用阿里云、亚马逊 AWS 的用户

自今年 9 月以来,安全公司便监测到有黑客在 PyPI 官方仓库中“投毒”,上传一系列恶意软件包,这些软件包中的恶意代码不会在用户安装后就自动启动,除非用户在使用软件包时呼起了特定的功能函数,才会触发。

▲ 图源 Checkmarx

Checkmarx 认为,由于许多安全分析软件只会扫描自动运行的恶意代码,难以查到此类“只能通过特定函数启动恶意代码”的软件包

IT之家从报告中得知,例如 PyPI 官方仓库中一款名为 Telethon2 的恶意软件包,实际上是“正牌”Telethon 的“山寨版”,后者已被下载超过 6900 万次。

▲ 图源 Checkmarx

安全公司发现,在这款名为“Telethon2”的恶意软件包中,黑客并非令恶意代码安装后就启动,而是通过在 telethon / client / messages.py 嵌入两行指令,使得用户在传送“信息”时,才会启动相关恶意代码。

而为了引诱开发者上当,黑客不光使用了模仿域名(Typosquatting)的手段,还让这些“山寨”软件包看起来“相当受欢迎”。

由于开发者在挑选软件包的过程,往往会参考 GitHub 统计的数据,攻击者刻意将 PyPI 中的“山寨包”链接 GitHub 上面不相关项目中,导致开发者可能误以为相关软件包受到外界欢迎,从而降低戒心。

责任编辑:姜华 来源: IT之家
相关推荐

2023-05-06 19:01:35

2013-10-11 10:12:58

亚马逊AWS云服务

2022-05-12 09:45:41

网络钓鱼网络攻击供应链攻击

2014-12-18 20:03:02

阿里云云计算

2015-08-14 15:10:45

2012-10-29 11:31:43

IBMdw

2021-11-01 11:51:24

勒索软件恶意软件安全

2013-06-27 17:30:37

2013-10-12 10:58:24

初创公司亚马逊AWS

2011-08-10 09:13:22

2021-03-01 10:42:20

黑客攻击网络安全SolarWinds

2020-08-31 14:50:14

AWSAWS MarketpSaaS

2012-07-23 13:15:15

2021-10-22 16:06:27

黑客网络安全网络攻击

2012-07-16 09:10:35

2015-06-12 09:53:29

亚马逊AWSAWS数据中心

2011-05-20 10:24:18

2024-05-24 14:41:36

2010-09-17 08:53:01

2023-03-15 18:29:05

点赞
收藏

51CTO技术栈公众号