Python 软件包索引(PyPI)软件仓库的管理员已经隔离了 “aiocpa ”软件包,因为该软件包在新的更新中包含了通过 Telegram 外泄私钥的恶意代码。
该软件包被描述为同步和异步 Crypto Pay API 客户端。该软件包最初于 2024 年 9 月发布,迄今已被下载 12100 次。
将 Python 库隔离后,客户端就无法继续安装,其维护者也无法对其进行修改。
网络安全机构Phylum上周分享了软件供应链攻击的细节,该机构称,软件包的作者在PyPI上发布了恶意更新,同时在GitHub的库中保持清洁,试图逃避检测。
目前还不清楚最初的开发者是恶意更新的幕后黑手,还是他们的证书被其他威胁行为者泄露。
恶意活动的迹象首次出现在 0.1.13 版本的库中,其中包括对 Python 脚本 “sync.py ”的修改,该脚本的目的是在安装软件包后立即解码并运行一段混淆代码。
Phylum说:“这个特殊的blob被递归编码并压缩了50次,”Phylum补充说,它被用来使用Telegram机器人捕获并传输受害者的Crypto Pay API令牌。
值得注意的是,Crypto Pay 被宣传为基于 Crypto Bot(@CryptoBot)的支付系统,允许用户接受加密货币支付,并使用 API 向用户转账。
这一事件意义重大,尤其是因为它凸显了在下载软件包之前扫描其源代码的重要性,而不仅仅是检查其相关的软件仓库。
“正如这里所证明的那样,攻击者可以在向生态系统分发恶意软件包的同时,故意维护干净的源代码库,”该公司表示,并补充说,“这次攻击提醒我们,软件包之前的安全记录并不能保证其持续的安全性。”
软件包 aiocpa 已正式从 PyPI 软件源中删除。