报告来源:OSCS开源安全社区(oscs1024.com)报告作者:OSCS
更新日期:2022-06-27
事件简述
2022年06月23日,OSCS 开源安全社区监测发现 PyPI 官方仓库被攻击者上传了 agoric-sdk datashare datadog-agent 等150+个恶意钓鱼包,OSCS官方提醒广大开发者关注。
PyPI 是 Python 的包管理工具,提供了对第三方 Python 包的查找、下载、安装、卸载等功能。
攻击者 mega707通过模仿 agoric, datadog 等知名软件包进行钓鱼,当用户安装攻击者的恶意包时,攻击者可窃取用户信息,环境地址等敏感信息上传至指定服务器。
本次投毒的代码虽然没有执行恶意的逻辑,但大批量进行投毒测试是一种非常恶劣的行为。
投毒分析
恶意包通过如下过程进行攻击:
Datadog(云监控厂商)官方分别在 GitHub 上提供了仓库名称为datadog-agent的开源代码,以及在 PyPI 上提供了名称为 datadog 安装包。
当用户安装监控软件 datadog 时,容易不区分来源下载到攻击者上传的名为datadog-agent的 Python 包(官方 Python 包名称为datadog )
(攻击者上传 datadog 相似名称包的截图)
恶意代码安装时会将用户名和安装路径,系统名称上传到远程服务器。
(恶意代码片段)
OSCS 开源安全社区查询datadog-agent 包的下载数量,发现在上传后仅6小时就有 225次 的下载。截止到6月27日,攻击者 mega707 一共上传了 150+ 个钓鱼包。
进行代码溯源发现钓鱼包使用的是如下地址的代码
https://github.com/007divyachawla/python-dependency-confusion-attack
OSCS 开源安全社区建议广大用户做好资产自查以及预防工作,以免遭受黑客攻击。
处置建议
OSCS 开源安全社区建议使用 Python 的用户时排查 Python 环境是否安装恶意钓鱼包,避免遭受损失。
详细名单查看链接:
https://www.oscs1024.com/hd/MPS-2022-20159
时间线
6月6日,攻击者注册 pip 账号 mega707
6月23日,攻击者上传 93 个恶意 Python 包
6月23日,OSCS 监测到本次恶意 Python 包投毒行为
6月27日,OSCS 再次监测到本次投毒的恶意 Python 包数量增加到153个
了解更多
1. 免费使用 OSCS 的情报订阅服务
OSCS (开源软件供应链安全社区)会第一时间发布开源项目最新的安全风险动态,包括开源组件安全漏洞、投毒情报等信息,社区用户可通过企微、钉钉、飞书等方式进行订阅。
具体订阅方式详见:
https://www.oscs1024.com/docs/vuln-warning/intro/
2. 使用墨菲安全的 IDE 插件帮您快速检测代码安全
在 Jetbrains IDE 插件市场搜索 murphysec 安装检测插件,一键检测,快速修复。
3. 其他
社区官网:
相关文档:
https://www.oscs1024.com/docs/oscs/
开源项目:
