行业新闻与博客

在 PyPI（Python 包索引）上发现了几个有害的 Python .whl 文件，其中包含一种名为“Kekw”的新型恶意软件。

根据 Cyble Research and Intelligence Labs ( CRIL ) 的新数据，Kekw 恶意软件可以从受感染的系统中窃取敏感信息，并执行可以劫持加密货币交易的剪刀活动。

“经过我们的调查，我们发现 PyPI 存储库中没有受到审查的 Python 包，这表明 Python 安全团队已经删除了恶意包，”CRIL 在周三发布的一份公告中写道。

“此外，[我们] 于 2023 年 2 月 5 日与 Python 安全团队进行了核实，并确认他们在恶意软件包上传后的 48 小时内将其删除。”

由于这些软件包被迅速撤下，Cyble 表示无法确定有多少人下载了它们。

“尽管如此，我们认为该事件的影响可能很小，”咨询中写道。

Vulcan Cyber 的高级技术工程师 Mike Parkin 对该消息发表评论说，这些包裹是当今威胁行为者更喜欢的供应链攻击的一个典型例子。他还感谢运行存储库的团队对这种情况做出了适当的反应。

阅读有关供应链安全的更多信息：CISA 建议 FCC 风险管理涵盖列表

“期望公共存储库为您完成这项工作是不切实际的。虽然他们做了很多，但我们可以预期威胁行为者会继续使用这种方法。审查正在使用的库的责任最终落在开发人员身上，”Parkin 补充道。

Netenrich 的首席威胁猎手 John Bambenek 更笼统地评论说，虽然开源软件和库的好处是它可以迅速提高软件工程工作的生产力和产出，但缺点是任何人，包括威胁参与者，都可以贡献代码。

“虽然可以快速发现此类恶意活动，但开源软件的工作并没有大规模的 SOC 来保护他们的工作免受恶意代码插入，”安全专家补充道。

举个例子，就在几个月前，Sonatype 在 NPM 和 PyPI 开源注册表中发现了大量恶意包。