在近年来的科技发展浪潮中,Python 作为一种通用编程语言,受到了广泛的关注和应用。由于其简洁的语法和强大的库支持,Python 被视为数据科学、人工智能及网络开发等多个领域的重要工具。然而,与此同时,Python 生态系统也面临着日益严峻的网络安全威胁。根据《黑客新闻》的最新报道,一系列针对 Python 包的安全事件令人警惕。 最近,知名的 Python 人工智能库 Ultralytics 被曝出在其 PyPI(Python 包索引)上存在恶意代码。这次攻击导致了两个版本的库被植入了加密货币挖掘程序,而据推测,这一攻击是通过库的发布流程被黑客植入的。
Ultralytics 的维护者 Glenn Jocher 证实,在安装这些版本后,用户的 CPU 使用率急剧上升,明显表明系统正在进行加密货币挖掘。对此,负责维护该库的团队已经发布了修复版本,以确保今后发布流程的安全性。这一事件再次提醒我们,软件供应链的安全性是防止此类攻击的关键。 此外,另一个名为 "aiocpa" 的包也因包含恶意代码而被 PyPI 阻止。此包被设计为一个加密支付 API 客户端,最近的更新却意外地添加了通过 Telegram 盗取用户私钥的功能。该包自发布以来已被下载了超过 12,000 次。
网络安全公司 Phylum 指出,尽管攻击者可能在 GitHub 上保持了原版库的清洁,但其恶意的更新使得用户可能不知不觉中泄露了重要的安全信息。 我们还看到,黑客利用了另一种攻击方式,通过伪装成热门 AI 模型的库在 PyPI 上传恶意包。这些包使用 "gptplus" 和 "claudeai-eng" 的名称,吸引了上千次下载。攻击者通过在这些包中植入信息窃取程序 JarkaStealer,试图获取用户的敏感数据。安全研究人员警告称,这种攻击方式表明,开发者与用户在从公共库下载和使用第三方库时,必须更加谨慎。 在另一项调查中,Cisco Talos 发现了一个新的网络窃取程序 PXA Stealer,专门针对政府和教育机构。
这种 Python 基础的恶意软件设计用来窃取受害者的敏感信息,包括在线账户的凭据、VPN 和 FTP 客户端的登录信息,以及金融和浏览器的cookie。在研究人员的分析中,该恶意软件显现出其背后与某个越南黑客组织的相关性,这也是网络安全事件日益复杂化的体现。 甚至,一些的恶意 Python 包悄然存在于开发者的机器上,而那些被称作 "fabrice" 的包,则通过 typosquatting 技术(即通过模仿流行库的名称)来窃取开发者的 AWS 凭据。尽管 "fabrice" 在 PyPI 中存在超过三年,但它在过去几周内的威胁显著上升,下载量已经超过了 37,100 次。而真正令人生畏的是,在这些攻击中,恶意包往往伪装得非常隐蔽,常常让开发者在完全不知情的情况下受到攻击。 目前,网络安全研究者已经发现超过 22,000 个被移除的 PyPI 包,存在被恶意利用的风险。
这种攻击模式被称为 "Revival Hijack",即攻击者利用已被移除的包名重新注册相同名称的恶意包,并可能导致成千上万的用户误下载这些含有恶意代码的包。这种隐蔽的攻击方式不仅展现了网络攻击手段的精细与复杂,也促使了安全社区对开源软件管理的反思。 考虑到当前的网络安全形势,针对 Python 包的安全防护显得尤为重要。首先,开发者应当对第三方库的来源进行仔细确认,避免任意下载未经验证的包。其次,定期更新和审查已安装的库,确保其中不包含已知的恶意代码。此外,构建一个安全的发布流程,以便在软件发布前进行充分的安全审查,这对于维护信息的安全至关重要。
在这个依赖于开源软件的时代,Python 社区的健康发展与安全防护密切相关。为了应对不断演化的网络威胁,各大组织和社区必须合作,提升自身的安全意识与防范机制,并积极参与到开源安全的建设中来。只有这样,才能为未来的数据安全和应用安全奠定坚实的基础。 面对网络安全的隐患,开发者和用户应当保持警惕。在享受开源软件带来的便利的同时,也要时刻关注相关的安全动态和新闻。通过建立健全的安全防护机制,才能够更好地保护我们的软件环境和用户数据。
。
