【地雷陣】Python開源套件藏木馬 盜取AWS帳戶憑證網上任睇
再有網絡安全公司發現,第三方軟件倉上存在多個內藏惡意功能的 Python packages,這些 packages 包括 loglib-modules、pyg-modules、pygrata、pygrata-utils 及 hyg-sol-utils,全部都可用於盜取開發者的 Amazon AWS 帳戶登入憑證。貪方便直接使用開源資源?好易誤中地雷。
為了加速應用服務開發,不少開發者都會使用軟件倉庫上的開源套件,直接將其功能加入自己的應用服務內。不過,在使用這些套件時卻未有審視內裏有否可疑功能,因此很容易將惡意功能加入自己的應用服務內,推出後更會波及用家。而這次被 Sonatype 安全研究員 Ax Sharma 發現的上述套件,便會在使用時將開發者的 AWS 帳戶憑證及環境變數等資料,一併上傳至黑客控制的伺服器,變相令黑客可以進入帳戶盜取公司的機密資料,甚至進行更多惡意行為如安裝挖礦程式、執行勒索軟件等。
更嚴重的是,研究員發現黑客控制的伺服器上存在數以百計帳戶憑證,而且全部伺服器對外開放,所收集的帳戶憑證亦只以 txt 檔案儲存,因此只要發現這個伺服器位址,任何人也可以讀取這些資料,造成難以估計的損失。其實軟件倉庫被發現暗藏病毒功能已非首次,上月兩款具備木馬功能的 Python 及 PHP 套件 ctx 及 phpass 亦被上傳至開源倉庫。雖然事後有伊斯坦堡安全研究員承認責任,說上載目的是希望測試有多少人會使用,以證明一個簡單的供應鏈攻擊 (Supply Chain attack) 可以影響百萬計開發者,不過同類型的惡意攻擊確實有上升趨勢,開發者不可不防。
不少網絡安全專家都警告,開源套件極具危險性,開發流程必須及早引入安全守則,例如在使用套件時,可利用掃描工具審視當中有否可疑編碼,同時在整個開發流程及交付後,持續監測這些套件有否在更新過程中出現異樣,避免引發嚴重災難。
相關文章:【共享陷阱】Python開源套件加速開發效率? 貪方便好易中伏
https://www.wepro180.com/python210806/
