作者 | 云昭

8月14日，Checkmarx（一家以色列高科技软件公司，世界上知名的代码安全扫描软件 Checkmarx CxSAST 的生产商）的研究人员发现，一位名为“devfather777”的网友发布了 12 个软件包，这些软件包被上传到 PyPi 存储库，并使用与其他流行软件包相似的名称来诱骗软件开发人员使用恶意版本，进而对俄罗斯反恐精英（Counter-Strike）1.6 服务器执行 DDoS 的仿冒攻击。

恶意仿冒活动 

此次排版攻击依赖于开发人员使用错误的名称，导致使用了与合法软件包相似的恶意软件包。例如，此活动中的一些包及其合法对应包（括号中）是 Gesnim (Gensim)、TensorFolw (TensorFlow) 和 ipaddres (ipaddress)。

恶意软件包仍在 PyPi 上 

上传的恶意 PyPi 包的完整列表是：

• Gesnim
• Kears
• TensorFolw
• Seabron
• ipaddres
• ipadress
• falsk
• douctils

由于软件开发人员通常通过终端获取这些包，因此很容易以错误的顺序输入其名称和字母。由于下载和构建按预期继续，受害者没有意识到错误并感染了他们的设备。虽然 CheckMarx 向 PyPi 存储库报告了这些包，但在撰写本文时它们仍然在线。

定位 CounterSrike 服务器 

在他们的应用程序中下载并使用这些恶意 Python 包之一后，setup.py 中的嵌入代码会运行以确认主机是 Windows 系统，如果是，它会从 GitHub 下载有效负载 (test.exe)。

隐藏在设置脚本中的代码 (Checkmarx)

在 VirusTotal（免费的可疑文件分析服务的网站）上扫描时，69 个防病毒引擎中只有 11 个将文件标记为恶意文件，因此它是一种用 C++ 编写的相对较新/隐蔽的恶意软件。

该恶意软件会自行安装并创建一个启动条目以在系统重新启动之间保持持久性，同时它还注入一个过期的系统范围的根证书。接下来，它连接到硬编码的 URL 以接收其配置。如果第三次尝试失败，它会寻找对发送到 DGA（域生成算法）地址的 HTTP 请求的响应。“这是我们第一次在软件供应链生态系统中看到恶意软件（菌株）使用 DGA，或者在这种情况下，使用 UGA 为恶意活动的新指令分配生成的名称，”Checkmarx 在报告中评论道。

攻击流程图 （Checkmarx）

在分析师观察到的案例中，配置命令恶意软件将主机招募到 DDoS 机器人中，该机器人开始向反恐精英（CounterStrike）1.6 服务器发送流量。目标似乎是通过感染足够多的设备来关闭 Counter-Strike 服务器，以使发送的流量使服务器不堪重负。用于托管恶意软件的 GitHub 存储库已被删除，但攻击者可以通过滥用不同的文件托管服务来恢复恶意操作。

如果你使用了上面提到的 12 个软件包，并且可能出现了打字错误，一定要仔细检查你的项目，确认是否使用了合法的软件包。

PyPi 被恶意攻击已非个例。早在今年 6 月，PyPi python 包就被曝发现将被盗的 AWS 密钥发送到不安全的站点。8 月 9 日，又有威胁分析人员在 PyPI 存储库中发现了 10 个恶意 Python 包，它们被用于窃取密码的恶意软件进而感染正在开发的系统。

Python Package Index (PyPi) 是一个包含超过 350000 个开源软件包的存储库，数百万开发人员可以轻松地将其整合到他们的 Python 项目中，以最小的努力构建复杂的应用程序。由于开源，软件开发人员经常使用它来挑选基于 Python 的项目的构建块，或者与社区分享他们的工作。但是，由于任何人都可以将包上传到存储库，并且包不会被删除，除非它们被报告为恶意，因此存储库更常被威胁者滥用，他们使用它来窃取开发人员凭据或部署恶意软件。虽然 PyPi 可以快速响应平台上的恶意包报告，但在提交之前由于缺少强有力的审查，因此危险包可能会潜伏一段时间。

参考链接：

https://medium.com/checkmarx-security/typosquatting-campaign-targeting-12-of-pythons-top-packages-downloading-malware-hosted-on-github-9501f35b8efb