PyPI (Python Package Index) 是 Python 编程语言的软件存储库。开发者可以通过 PyPI 查找和安装由 Python 社区开发和共享的软件,也可以将自己开发的库上传至 PyPI 。
Python库的官方仓库pypi允许开发者自由上传软件包,这会导致某些攻击者利用这点构造恶意包进行供应链攻击,在用户安装包或者引入包时触发恶意行为。目前所知已经有600+恶意软件包,python官方仓库已经删除,国内部分mirror源也有删除。
恶意类型解释
恶意后门:恶意程序可以在用户不知情的情况下直接安装启动运行,后台开启特殊接口,方便黑客再次进入受害者计算机,通常会添加非法的启动项,服务等用于长期驻留
反弹shell:黑客在获取执行权限后,可以通过在受害者机器上建立shell会话连接至黑客计算机,黑客可以通过shell会话直接下发命令控制受害者计算机。
获取敏感信息:非法窃取受害者计算机相关敏感信息,比如系统、软件账号密码、配置,系统截屏,私密文件内容,钱包信息等,并将这些信息通过各种手段泄露给黑客服务器。
远程命令执行:恶意程序启动会获取黑客服务器信息,并根据远程数据,执行可被黑客控制的远程代码,用于控制受害者机器,执行黑客下发的指令等。
挖矿木马:木马在用户不知情的情况下,使用计算机算力对各类数字货币进行挖矿获利,占用机器大量CPU、GPU资源,严重影响其他应用执行。
篡改剪贴板加密货币地址:恶意程序会监视机器剪贴板,一旦发现用户复制加密货币钱包地址,便将剪贴板中地址替换成黑客指定的钱包地址,用户便可能在不知情中向攻击者转账数字货币。
恶意pypi软件包可以通过如下aliyun网址查询:
https://developer.aliyun.com/mirror/pypi?spm=a2c6h.13651102.J_4121707010.1.3e221b11RrArlr