資安廠商 Sonatype 旗下的資安專家 Ax Sharma,日前發現在 Python 中的 PyPI 程式庫內,有多個程式套件遭人植入多個含有挖礦惡意程式碼的套件,並以拼錯但極為近似某一常用套件的名字命名;不慎下載安裝的開發者電腦,就會被攻擊者用以挖掘加密貨幣。

據 Ax Sharma 日前的研究報告指出,這些被上傳到 PyPI(Python Package Index)中含有挖礦惡意程式碼的套件,分別如下:

  • maratlib
  • maratlib1
  • matplatlib-plus
  • mllearnlib
  • mplatlib
  • learninglib

這些惡意套件的名稱,故意接近常用的描點用套件 matplotlib,意圖混淆視聽並誘使開發者下載安裝;開發者如果執行這些套件內的程式碼,就會下載並執行一個叫做「Ubqminer」的挖礦惡意軟體,利用開發者電腦的計算資源來挖掘 Ubiq 加密貨幣,並轉帳給攻擊者。

資安專家還發現另一個變種,攻擊原理和手法類似,但改用另一種稱為 T-Rex 的開源挖礦軟體,可利用開發者電腦上的圖形處理器(GPU)來加快挖礦運算速度。

研究指出,上述這些惡意挖礦套件,都是由同一個帳號「nedog123」上傳的,至今各套件的下載次數,自 300 多次到近 2,400 次不等。

報告也指出,這類藉由攻擊開源開發工具而發動的供應鏈攻擊駭侵活動,近年來案例數量有逐漸增加的趨勢,受害者除了開發者本身外,透過這種惡意程式碼開發出來的軟體產品,也可能含有惡意程式碼,造成更大的危害。開發者在下載安裝各種開源開發工具與套件時,應特別提高警覺。

相關連結

  1. TWCERT/CC
  2. Sonatype Catches New PyPI Cryptomining Malware
  3. Malicious PyPI packages hijack dev devices to mine cryptocurrency
回到頂端