持续的供应链正攻击针对 Python 开发人员

近日，国家信息安全漏洞库（CNNVD）收到关于roels、req-tools和dark-magic三个Python第三方恶意库情况的报送。这三个库分别部署在Python官方的第三方库下载网站（https://pypi.org）上，当用户安装使用上述Python第三方库时可能被安装恶意程序。

近日，国家信息安全漏洞库（CNNVD）收到关于roels、req-tools和dark-magic三个Python第三方恶意库情况的报送。这三个库分别部署在Python官方的第三方库下载网站（https://pypi.org）上，当用户安装使用上述Python第三方库时可能被安装恶意程序。

然而，Trellix研究证实，在大多数情况下，攻击者可以获得代码执行，从而使这个Python漏洞更加严重。他指出，Python的问题在过去15年中呈指数级恶化。由于易受攻击的存储库的数据量异常庞大，Trellix联系了GitHub以获得额外的访问权限，结果发现包含超过500,000个使用tarfile包的GitHub存储库。TechTarget联系微软征求意见，但截至发稿时，这家软件巨头并未发表任何声明。Trellix为供应商发布了检测工具，目前为11,000个存储库提供了补丁。

一个被追踪为 WASP 的攻击者使用 WASP Stealer 针对 Python 开发人员，对其进行持续的供应链攻击。

近日，有安全研究人员披露称，持续的供应链攻击一直利用恶意Python包分发名为W4SP Stealer的恶意软件。截止目前，已有数百名受害者落中招。安全研究人员分析称，此次攻击活动与网络犯罪有关，在披露的信息中还指出，标记了Python包索引 上发布的 30 个不同模块，这些模块旨在以看似良性的包为幌子传播恶意代码。此外，这次攻击只是针对软件供应链的最新威胁，不同的使用了隐写术来提取隐藏在Imgur上托管图像文件中的多个恶意软件负载。

35万个项目受到影响通过分析影响，Trellix 研究人员发现该漏洞存在于数千个开源和闭源软件项目中。对其余存储库运行自动检查将受影响的项目数量增加到 65%，这表明存在广泛的问题。然而，这个小样本集仅作为估算 GitHub 上所有受影响的存储库的基准。稍后，它们将通过拉取请求添加到主项目中。

网络安全研究人员在 Python 包索引（PyPI）仓库中识别出116个恶意软件包，旨在通过定制后门程序感染 Windows 和 Linux 系统。

通过在开源软件包中插入恶意代码来迅速将恶意软件传播到整个软件供应链中是恶意分子常用的攻击手段。然而，最新的研究发现，如果用户等待大约14天后再将这些软件包更新到最新版本，就可以避免受到软件包劫持攻击的不良影响。

软件供应链管理公司Sonatype发布的一份最新报告显示，涉及恶意第三方组件的供应链攻击数量在过去一年增加了633%，目前已知的案例超过8.8万起。Sonatype的监测数据显示，截至2022年8月，固定版本Log4j的采用率约为65%。截至去年年底，Sonatype追踪了大约1.2万起已知的恶意供应链攻击事件，现在这一数字已超过8.8万起，同比增长633%。

开源生态“投毒”攻击是指攻击者利用软件供应商与最终用户之间的信任关系，在合法软件的开发、传播和升级过程中进行劫持或篡改，从而达到非法目的的攻击类型。