Python恶意软件更新事件

关键要点

最近，Python 软件包索引PyPI中 djangologtracker 包被恶意更新，包含信息窃取恶意软件 Nova Sentinel。该软件包在下线前获得了107次下载，攻击者仅保留了原始包的 initpy 和 examplepy 文件。可执行文件通过一个 Python 函数进行检索并部署，包含一个 Electron 应用程序，被用于传播 Nova Sentinel。此事件突显出供应链攻击的风险，特别是当热门包无明确版本限制时，可能导致恶意版本的拉取。

最近，恶意更新被发布到 Python 包索引 的 “djangologtracker” 包，该包最后一次修改是在2022年4月。根据 The Hacker News 的报道，这些更新旨在传播 Nova Sentinel 信息窃取恶意软件。根据 Phylum 的报告，这个包的最新版本在被下架之前已经累计了107次下载，但攻击者仅保留了原始包的 initpy 和 examplepy 文件，允许检索一个可执行文件，该文件随后通过一个 Python 函数进行部署。

这种可执行文件被发现包含一个 Electron 应用，Sekoia 报告显示该应用被用于传播 Nova Sentinel。Phylum 进一步分析称：“这起事件的有趣之处在于，攻击向量似乎是通过一个被妥协的 PyPI 账户进行的供应链攻击。如果这个包是一个非常热门的包，任何在其依赖文件中没有指定版本或以灵活版本指定该包的项目，都可能会拉取到这个最新的恶意版本。”

为了防范此类事件，开发者应定期检查其依赖项，确保不引入潜在的恶意软件，并加强对软件包管理系统的监控与审计。

vpn梯子