在 PyPI 存储库中发现 10 个凭据窃取 Python 库

在另一个恶意程序包潜入公共代码存储库的实例中，10 个模块已从 Python 程序包索引 (PyPI) 中删除，因为它们能够收集密码和 Api 令牌等关键数据点。

以色列网络安全公司 Check Point在周一的一份报告中表示，这些软件包“安装了信息窃取程序，使攻击者能够窃取开发人员的私人数据和个人凭据”。

违规软件包的简短摘要如下 -

• Ascii2text，它会下载一个恶意脚本，该脚本收集存储在 Google Chrome、Microsoft Edge、Brave、Opera 和 Yandex 浏览器等网络浏览器中的密码
• Pyg-utils、Pymocks 和 PyProto2，旨在窃取用户的 AWS 凭证
• Test-async 和 Zlibsrc，在安装过程中下载并执行恶意代码
• Free-net-vpn、Free-net-vpn2 和 WINRPCexploit窃取用户凭据和环境变量，以及
• Browserdiv，能够收集保存在 Web 浏览器的本地存储文件夹中的凭据和其他信息

该披露是最近迅速膨胀的案例列表中的最新案例，其中威胁行为者在 PyPI 和节点包管理器 (NPM) 等广泛使用的软件存储库上发布了流氓软件，目的是破坏软件供应链。

恶意 NPM 包窃取 Discord 令牌和银行卡数据

如果有的话，此类事件带来的高风险增加了在从公共存储库下载第三方和开源软件之前进行审查和尽职调查的必要性。

就在上个月，卡巴斯基在 NPM 包注册表中披露了四个库，即 small-sm、pern-valids、lifeculer 和 proc-title，其中包含高度混淆的恶意 Python 和 JavaScript 代码，旨在窃取 Discord 令牌和链接的信用卡信息。

这场名为LofyLife的活动证明了此类服务如何被证明是一种有利可图的攻击媒介，让攻击者通过将恶意软件伪装成看似有用的库来接触大量下游用户。

“供应链攻击旨在利用组织与外部各方之间的信任关系，”研究人员说。“这些关系可能包括合作伙伴关系、供应商关系或第三方软件的使用。”

“网络威胁行为者将危害一个组织，然后向供应链上游移动，利用这些受信任的关系来访问其他组织的环境。”