安全研究人員上周發(fā)現(xiàn)200多個惡意程序包滲透到PyPI和npm開源軟件包中。這些包主要是被廣泛使用的代碼庫的仿冒品，每個包都在運(yùn)行Linux挖礦木馬。

軟件開發(fā)人員和研究員Hauke Lübbers分享了在PyPI上遇到的“至少33個項目”，這些項目都在感染系統(tǒng)后啟動了開源門羅幣加密貨幣XMRig。

研究人員正在向PyPI管理員報告這33個惡意項目時，他注意到攻擊者開始發(fā)布另一組具有相同惡意負(fù)載的22個包。

植入的惡意代碼通過Bit.ly短網(wǎng)址服務(wù)從威脅參與者的服務(wù)器下載Bash腳本。該腳本會將受感染主機(jī)的IP地址以及加密礦工的部署是否成功通知攻擊者。

Sonatype安全研究團(tuán)隊今天披露了另外186個npm惡意包，它們通過相同的URL下載惡意Bash腳本。

npm包從同一個URL下載惡意代碼（Sonatype）

上周，安全公司Checkmarx報告發(fā)現(xiàn)十幾個惡意Python包對Counter-Strike服務(wù)器（位于俄羅斯的反恐精英游戲服務(wù)器）執(zhí)行DDoS攻擊。

本月早些時候，網(wǎng)絡(luò)安全公司CheckPoint公開了10個惡意PyPI包，這些包被發(fā)現(xiàn)竊取了開發(fā)人員憑據(jù)。7月，ReversingLabs研究人員披露了一種名為IconBurst的供應(yīng)鏈攻擊針對軟件開發(fā)者。

安全專家提醒軟件開發(fā)人員，務(wù)必警惕開源軟件代碼庫日益多見的軟件供應(yīng)鏈攻擊。

參考鏈接：

https://www.bleepingcomputer.com/news/security/241-npm-and-pypi-packages-caught-dropping-linux-cryptominers/

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級服務(wù)市場：https://www.ijiandao.com/