文/廠商新聞稿 | 2024-11-04發表

Python 是一種功能強大且易於學習的程式語言,因其簡單的語法和廣泛的應用領域而受到歡迎。無論是在 Web 開發、數據分析、機器學習、自動化腳本編寫,還是桌面應用程序和遊戲開發,都能進行,並且擁有豐富的社區資源和套件,能幫助開發者更高效的完成各種編程任務。

Python擁有眾多的第三方套件庫和框架,例如 Django 和 Flask 這樣的 Web 開發框架,NumPy 和 Pandas 這樣的數據分析庫,TensorFlow 和 PyTorch 這樣的機器學習工具框架,以及 Tkinter 和 Pygame 開發桌面應用程序、遊戲領域的框架,進一步擴展了 Python 的應用範圍。

PyPI (Python Package Index) 是 Python 社群中最重要的第三方庫和工具的集中倉庫。它提供了一個平台,讓開發者能夠發佈和分享 Python 套件包。可以使用pip命令來安裝 PyPI 套件包。

例如:安裝requests:


由於 Python 的廣泛應用及受歡迎程度,也讓駭客開始在 PyPI 裡製作一些惡意套件包,提供使用者下載安裝,造成資安攻擊事件發生。

駭客透過使用者安裝PyPI套件試圖竊取 GCP 帳密的資案事件:

Checkmarx 研究人員發現 2024 年 6 月上傳到 PyPI 平台上的 “lr-utils-lib” 套件,有資安上的疑慮,會針對 macOS 的作業系統竊取 GCP(Google Cloud Platform) 帳密而造成資料外洩。從一部分“lr-utils-lib”套件 setup.py 簡化版程式裡可以看出一些惡意行為的痕跡。


在執行安裝套件的時候會先確認系統是否為 macOS 系統 (darwin系統是一個開源操作系統,macOS 的基礎)。


取得 macOS IOPlatformUUID (唯一識別碼),並使用 SHA-256 演算法對其進行雜湊處理。


在程式裡有發現一個名為 go 的列表,裡面有 64 個經過雜湊後的 UUID資料。發現程式會比對雜湊後的 IOPlatformUUID 是否在列表裡,看得出來有在針對特定的 UUID 做攻擊。如果有在列表裡就會將”~/.config/gcloud” 資料夾下的”application_default_credentials.json”,”credentials.db”二個檔案(這些文件通常包含Google Cloud 驗證資料),嘗試透過HTTPS POST請求將這些檔案的內容傳送到名為”europe-west2-workload-422915[.]cloudfunctions[.]net”的遠端伺服器。如果資料外洩成功,攻擊者就能夠未經授權存取使用者的Google Cloud資源,造成資安危害。


攻擊流程:


意外牽扯出AI搜尋引擎的社交工程疑慮

發生 ”lr-utils-lib” PyPI套件包攻擊事件後,去尋找套件包的開發者為”Lucid Zenith”。而在Linkedln上搜尋發現有個帳號同為”Lucid Zenith”帳號,簡介上聲稱是Apex Companies, LLC公司的CEO。但實際上CEO另有其人,證實”Lucid Zenith”為假冒的CEO。目前也無法證實PyPI的攻擊與假冒CEO事件是否有所關連?


有趣的是在AI搜尋引擎上詢問,”Lucid Zenith”是否為APEX companies LLC公司的CEO?給出的回覆是,”Lucid Zenith”是APEX companies LLC公司的CEO。

很顯然AI搜尋引擎回復了錯誤的訊息,不確定是否是受到駭客的影響?還是AI 搜尋引擎本身存在的問題?


2024年9月再詢問一次AI搜尋引擎,回覆已更新。『不,Lucid Zenith 與 Apex Companies, LLC 沒有關係,也不是該公司的執行長。Lucid Zenith是Apex Companies執行長的說法似乎是來自惡意LinkedIn個人資料的虛假資訊。』,這突顯了AI搜尋引擎目前回覆內容正確性問題。現在網路上充斥著很多虛假的資訊,AI搜尋引擎如何過濾假資訊將是一個重要的課題。


PyPI攻擊防範對策及AI搜尋引擎使用注意事項

● 使用官方和受信任的來源,優先使用有良好評價和大量用戶的套件包。查看套件包的下載量和維護情況,選擇經常更新、維護的套件包。

● 使用不常見的套件包前,在PyPI上檢查是否來自可靠的開發者或組織。 並檢查套件包的詳細信息,包括發佈者和套件版本歷史,如果資訊量及下載量不多,請謹慎評估使用。

● AI搜尋引擎可以很快用對話的方式找到查詢內容,但以目前搜尋結果來看,還是會有引用或推薦到偽造的內容。建議使用者使用AI搜尋引擎查詢時,能再驗證搜尋結果的真實性,避免使用到偽造的內容,造成資安危害。

● 使用新的AI搜尋引擎前先了解隱私政策,會不會儲存你的搜尋內容及結果去應用,如果會,請謹慎評估後再決定使用。避免輸入敏感資訊,例如:身份證字號或信用卡號..等,避免被洩漏、被偽造使用。

參考資料:

https://www.ithome.com.tw/news/164242

https://checkmarx.com/blog/malicious-python-package-targets-macos-developers-to-access-their-gcp-accounts/  

想了解更多產品資訊,請連至官網https://www.neithnet.com/zh/,或直接與NEITHNET資安專家聯繫:info@neithnet.com

熱門新聞

Advertisement