恶意包裹的流行使供应链的安全受到质疑。

ReversingLabs 安全研究人员 最近的 研究发现， Python 包索引 ( PyPI ) 存储库中存在两个恶意包，它们使用DLL 旁加载技术绕过防病毒检测并运行恶意代码。

这两个名为 NP6HelperHttptest 和 NP6HelperHttper 的软件包在从存储库中删除之前，分别被用户下载了 537 次和 166 次。这些数字表明，即使是短期的恶意软件包也可以在开发人员中找到受害者。

这些恶意软件包模仿合法的 ChapsVision 营销自动化工具的名称。这种技术称为Typosquatting，在针对软件包存储库的攻击者中非常流行。

这两个软件包都包含一个“setup.py”脚本，该脚本会触发两个文件的下载：一个是来自 Kingsoft 的合法可执行文件（“ComServer.exe”），该文件容易受到 DLL Sideloading 的攻击，另一个是恶意 DLL（“dgdeskband64.dll”）。所使用的技术具有高度保密性。

恶意 DLL 的目的是联系攻击者控制的域以下载伪装成 GIF 的文件。事实上，这是Beacon的 shellcode ，Beacon 是一种广泛用于网络攻击的工具，在系统最初受到攻击后，系统会被允许执行许多恶意操作，包括收集数据、在网络中移动和安装其他工具。

ReversingLabs 研究人员认为，已识别的软件包是分发类似恶意可执行文件的更大活动的一部分，这凸显了开发人员和组织需要保持警惕。

专家强调，开发组织必须意识到供应链安全和开放软件包存储库的使用所带来的威胁。

必须仔细检查源代码和依赖项，并提供额外的监控和安全措施，以便在发生感染时及时做出反应并保护您的系统。

加强网络安全和应对软件供应链中的威胁仍然是当今组织和开发人员面临的主要挑战。

文章原文链接:https://www.anquanke.com/post/id/293357