PyPl 惡意軟件氾濫 開發員打錯字戶口乾塘

近年愈來愈多人使用 Python 編寫程式,一方面程式語言預設安全功能,可減少因配置記憶體錯誤而引發嘅安全風險,其次係有大量開源 libraries 可借開發員使用,一受到歡迎,自然愈來愈多網絡犯罪分子被吸引過嚟,睇吓有乜方法加以利用。其中一種常用手法,就係將惡意套件上載去 Python Package Index(PyPl)官方嘅開源資源倉庫,用各種不同方法吸引開發者使用。網絡安全公司 Phylum 就發現,倉庫內至少有 451 個含有剪貼簿惡意功能嘅套件存在,大部分都係使用串字混淆(typosquatting)方法,即係同正名套件嘅名只差一兩個字,搏開發員疏忽打錯指令誤用。

研究員話網絡犯罪分子偽裝嘅套件都好常用,例如beautifulsoup、pandas、scrapy等等,另外亦有同加密貨幣有關嘅 bitcoinlib、cryptofeed。當開發員嘅程式 call 咗套件嚟用,惡意軟件就會自動喺背後下載,同時會係任何正在使用嘅瀏覽器上執行。當發現開發員複製一段加密貨幣帳戶位置,惡意軟件就會自動換成屬於網絡犯罪集團嘅帳戶,通過呢個方法去攔截任何交易。受影響嘅瀏覽器包括 Google Chrome、Microsoft Edge、Brave、Opera。

除咗 Phylum、另一安全機構 Sonatype 喺上個月亦有同樣發現,研究員發現 PyPl 上月有 49 個惡意套件,另一倉庫 npm 更有 691 個。專家估計呢類供應鏈(supply chain)攻擊將會持續增加,因此開發員就要非常小心,喺 call 任何 libraries 之前,真係要再三覆核有無唔覺意打錯字!

詳情:http://bit.ly/3xvUJ9u