恶意 PyPI、NPM、Ruby 包正在瞄准 Mac 设备
2023-9-6 20:4:18 Author: mp.weixin.qq.com(查看原文) 阅读量:8 收藏

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

Phylum 公司称,威胁行动者正在讲恶意包上传到 PyPI、NPM 和 RubyGems 仓库,旨在窃取用户信息。

首批恶意包在上周末上传到 PyPI 和 NPM 仓库中,尤其针对 macOS 用户。Phylum 公司最初发现,PyPI 包旨在收割受害者的机器信息并将其提取到受攻击者控制的服务器。该代码还发布了具有其它恶意 payload 的后续版本。然而,如果受害者机器运行的是 macOS,则该恶意包仅会收集信息。

同样,作为该攻击一部分而发布的首个 NPM 包旨在收集 macOS 设备的系统和网络数据并提取到远程服务器中。如果并非在 macOS 上运行,则代码会停止执行。

RubyGems 包也遵循了类似模式,即收集系统数据并发送到远程服务器,仅针对 macOS 系统。

Phylum 公司还指出,所有包都在和同样的 IP 地址通信,发送收集的系统信息,而具有相似版本的多个包会在 PyPI、NPM 和 RubyGems 仓库中发布,说明它们之间明显存在关联性。

Phylum 提到,“这些包的作者正在对开发人员发动大规模攻击,其最终目标尚不明朗。”该公司已向各个生态系统报送了所有已识别出的程序包,并表示 PyPI 已证实所有包都已删除。

大约一周前,该公司发现了针对 Rust 开发人员的攻击活动。该攻击利用的是位于 Crates.io Rust 注册表中的恶意包,而这次新的攻击活动证明开源包注册表中的恶意软件正在变得越来越普遍。

代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com

推荐阅读

恶意 PyPI 包通过编译后的 Python 代码绕过检测

PyPI 强制所有软件发布者启用双因素认证机制

因恶意用户和恶意包过多,PyPI 暂停新用户注册和项目创建

Python 开发人员提醒:PyPI 木马包假冒流行库发动攻击

451个PyPI包被指安装Chrome扩展窃取密币

原文链接
https://www.securityweek.com/developers-warned-of-malicious-pypi-npm-ruby-packages-targeting-macs/

题图:Pexels License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "” 吧~


文章来源: https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247517570&idx=3&sn=e1e8c3f4da181c45574f67a713fa11bb&chksm=ea94b4e8dde33dfe9336324f9f15f9e0a5fc525466eb80b12aa5494932c0ef6a018a300aa955&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh