在PyPI (Python Package Index)上发现了几个有害的Python .whl文件,其中包含一种名为Kekw的新型恶意软件。
根据Cyble研究和情报实验室(CRIL)的最新数据,Kekw恶意软件可以从受感染的系统中窃取敏感信息,并执行可以劫持加密货币交易的快速活动。
CRIL在周三发布的一份报告中写道:“经过调查,我们发现PyPI存储库中不存在受到审查的Python包,这表明Python安全团队已经删除了恶意包。此外,我们在2023年5月2日与Python安全团队进行了核实,确认他们在恶意软件包上传后48小时内将其删除。”
Cyble说:“由于这些软件包被删除的速度非常快,无法确定有多少人下载了它们。”
该公告写道:“尽管如此,我们认为该事件的影响可能微乎其微。”
Vulcan Cyber的高级技术工程师迈克·帕金(Mike Parkin)对这一消息发表评论说,这些包裹是威胁行为者如今更喜欢的供应链攻击的一个主要例子。他还感谢了运行存储库的团队对这种情况的正确响应。
Parkin补充道:“指望公共存储库为你完成这项工作是不切实际的。虽然他们做了很多,但我们可以预期威胁行为者会继续使用这种方法。审查使用中的库的责任最终落在了开发人员身上。”
Netenrich的主要威胁猎人John Bambenek评论得更广泛,他说:“虽然开源软件和库的好处是它迅速提高了软件工程工作的生产力和产出,但缺点是任何人,包括威胁参与者,都可以贡献代码。“
这位安全专家补充说:“虽然这种恶意活动可以很快被发现,但它不像开源软件那样有大规模的soc来保护它们免受恶意代码插入的影响。”
举例来说,就在几个月前,Sonatype在npm和PyPI开源注册表中发现了大量恶意软件包。
