PYPI上数款恶意套件可窃取用户信用卡资料或是身份验证权杖

DevOps平台JFrog的安全研究团队发现了数个托管在PYPI中的恶意套件，经JFrog迅速回报，这些恶意套件已经全数遭到删除。JFrog侦测到的恶意套件，包括noblesse和pytagora等系列套件，能够窃取用户身份验证权杖、信用卡资料以及执行远端程式码注入等攻击。

软件套件储存库成了攻击者的热门攻击目标，近期NPM、PYPI和RubyGem等主要储存库，都出现遭到攻击的消息。JFrog提到，开发人员毫无戒心的信任储存库，并且从这些来源安装套件，当恶意套件被意外地允许上传至储存库时，开发人员就可能在无意之间，下载安装这些恶意套件，使得攻击者得以在开发者的工作管线成功发动攻击。

根据Pepy.Tech的资料，JFrog发现的这几个恶意套件，已经被下载约3万次，不过目前他们尚未掌握实际影响的资料。这些恶意套件都使用了简单的混淆技术（Obfuscation），像是使用Base64编码器来编码Python文字，或是使用eval函式来将解码的文字转为程式码，官方提到，虽然这些技术可以轻易地骗过静态分析工具，但是这样的包装反而会吸引研究人员的目光，对这些程式码进行深入研究。

由于这些混淆程式码存在特定的字串，使得研究人员发现，这些套件使用公共工具python-obfuscator进行处理，其中aryi套件则是使用了permit进行混淆，这表示恶意开发人员尝试采用不同的混淆方法。

这些恶意套件的目标不同，第1号noblesse系列恶意负载（Payload）能够窃取通讯软件Discord的身份验证权杖，官方表示，这个窃取权杖的负载源自恶名昭彰的dTGPG（Discord Token Grabber Payload Generator），这是一个未公开的负载生成器，但是生成的负载有公开，并且被上传到GitHub中作为范例。noblesse系列第2号恶意套件，则会窃取浏览器自动完成的敏感资料，包含使用者的信用卡以及密码，noblesse系列第3号恶意套件，则会收集系统资讯，像是IP地址、电脑名称、Windows授权金钥资讯、Windows版本和屏幕截图。

pytagora系列的恶意套件，则会执行远端程式码注入，简单来说，恶意程式码会尝试连接一个私有IP的TCP埠口9009，并且执行任何从Socket读取到的Python程式码。

用户应该检查应用程序的相依项目，当发现本地端安装了noblesse套件，则可能发生敏感资料泄漏的情况，包括Edge浏览器储存的密码，以及Chrome浏览器所储存的信用卡，都可能遭到盗用，用户可以考虑更换。另外，如果安装的是pytagora套件，官方建议可以使用防毒软件扫描，或是采取其他恶意软件检查步骤。