嘟嘟社区

PyPI 发现活跃半年以上的供应链攻击


安全公司 SentinelOne 和 Checkmarx 的研究人员报告,Python 软件包仓库 PyPI 成为一起复杂供应链攻击的目标,至少两个合法软件包被成功植入了窃取凭证的恶意程序。攻击者向 Python 开发者发动钓鱼攻击,诱骗他们泄露登陆凭证,然后利用窃取的凭证推送软件包最新更新,其中植入了窃取凭证的恶意程序 JuiceStealer。JuiceStealer 使用 .NET 框架开发,它会搜索 Google Chrome 储存的密码,其活动始于 2021 年下半年。它一开始利用用户拼写错误的方法传播,之后开始利用供应链攻击扩散。PyPI 项目已经开始强制要求软件包维护者启动 2FA。