攻击者上传了遭篡改的软件包，它们的名称为 “pycryptoenv” 和 “pycryptoconf”等，与合法的加密工具包 “pycrypto” 类似。被骗将这些包下载到 Windows 机器的开发人员遭到一款危险木马 Comebacker 的感染。

日本CERT在上个月月末表示，“这次确认的恶意 Python 包的下载次数约为300到1200次。攻击者可能利用用户的输入错误诱骗他们下载恶意软件。”

Gartner 公司的高级负责人兼分析师 Dale Gardner 认为 Comebacker 是一款用于释放勒索软件的通用木马，可窃取凭据并渗透开发管道。Comebacker 已被部署到与朝鲜有关联的其它网络攻击中，包括针对 npm 软件开发仓库的攻击。Gardner 表示，“该攻击是一种typosquatting 形式，在本案例中是依赖混淆攻击。开发人员被诱骗下载包含恶意代码的软件包。”最近针对软件仓库的攻击是最近一年左右时间出现的类型。Gardner表示，这些攻击类型增长迅速。

PyPI 是一种中心化服务，用户遍布全球，因此全球开发人员都应该对这次攻击提高警惕。

Gardner 指出，“该攻击并非仅影响位于日本和附近区域的开发人员。所有地方的开发人员都应该提高警惕。”其它专家认为非英语母语国家的开发人员可能遭受更多风险。Netify 公司的技术专家兼信息安全主管 Taimur Ijlal提到，鉴于语言障碍和更少的安全信息访问权限，该攻击“可能很大程度上影响位于亚洲的开发人员”。他提到，“资源有限的开发团队在严格的代码检查和审计方面的带宽可能更少。”

Academic Influence 公司的研发总监 Jed Macosko 表示，东亚地区的应用开发社区“与其它地方相比，由于在技术、平台和语言方面更类似，因此连接更加紧密”。他认为攻击者可能利用的是这些区域链接和“信任关系”。Macosko 提到，位于亚洲的小型和初创软件公司比世界其它地方的安全预算更少，“这意味着流程、工具和事件响应能力更弱，这就使得复杂威胁行动者的渗透和持久性目标更容易实现。”

Gardner认为，保护应用开发人员免受这类软件供应链攻击“任务艰巨而且通常要求很多策略和技术。”开发人员应当在下载开源依赖关系时提高警惕。他指出，“鉴于当前所使用的开源软件数量之多以及快速开发环境带来的压力，即使是训练有素和警觉的开发人员也很容易犯错。”他提到，这就使得自动化“管理和检查开源软件”成为一种关键的防御性措施。他建议称，“软件成分分析 (SCA) 工具可用于评估依赖关系，助力发现虚假或已被攻陷的程序包”，“主动测试包中是否存在恶意代码”并使用程序管理器验证包也可缓解风险。

他指出，“我们看到一些组织机构设立私有注册表。这些系统得到流程和工具的支持，帮助审查开源软件是否合法”以及是否包含漏洞或存在其它风险。

Increditools 公司的技术专家兼安全分析师 Kelly Indah 指出，虽然开发人员可采取多项措施降低暴露风险，但阻止滥用的风险是平台提供商承担。这并非 PyPI 首次遭恶意包入侵。

Indah 表示，“每个区域的开发团队都依赖于关键仓库的信任和安全。Lazarus 事件破坏了这种信任。但通过开发人员、项目负责人以及平台提供商提高警惕和协同响应，我们可携手恢复完整性和机密性。”

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~