PyPI惡意軟體 冒用軟體開發套件竊取用戶資料

編譯／鄭智懷

資安公司ReversingLabs指出，第三方軟體套件的軟體儲存庫PyPI出現假冒知名網路安全公司SentinelOne軟體開發套件（SDK），並以其為名的「SentinelOne」惡意套件。該惡意軟體套件在2022 年 12 月 8 日至11日上傳後，在短短兩天內更新了20次。目前該軟體已經下架。

  ReversingLabs表示，「SentinelOne」使用戶可以更容易存取應用程式設計介面（API），但其中夾帶的後門程式卻使駭客可以竊取系統中的個資，或是如安全憑證、安全外殼（SSH）金鑰等敏感資料。「SentinelOne」的設計者還發布了輛外兩個類似的惡意軟體套件─「SentinelOne-sdk」和「SentinelOneSDK」，顯示開源資料庫存有長期、持續的資安風險。

該公司也指出，「SentinelOne」惡意軟體套件的程式代碼可能是透過合法客戶的帳號，從網路安全公司SentinelOne竊取。

該公司的資安研究人員Karlo Zanki提到，本次的假冒事件利用「誤植域名」（typosquatting）的攻擊手法迷惑軟體開發者，將惡意程式發送到各大開發管道及合法的應用程式中，凸顯當前軟體供應鏈面臨日益嚴峻的資安威脅。

ReversingLabs針對軟體供應鏈的安全報告指出，相較於2021年，PyPI在2022年的惡意軟體套件上傳數量減少六成，由3,685 個減少到 1,493 個。而知名軟體儲存庫npm JavaScript的惡意軟體套件上傳數量在2022年則增加四成，達到近7,000個。

Karlo Zanki對此現象表示，雖然影響的範圍與程度有限，但其提醒軟體開發商必須注意軟體供應鏈持續存在的威脅。

資料來源：The Hacker News

瀏覽 451 次