在PyPI上发现了数十个恶意的HTTP库

ReversingLabs研究人员在Python包索引(PyPI)存储库中发现了大量恶意库。

根据ReversingLabs的软件威胁研究员Lucija Valentic周三发布的一份报告，大多数被发现的文件都是伪装成HTTP库的恶意包。

Valentic解释说:“这些软件包的描述在很大程度上并没有暗示其恶意。有些伪装成真正的库，并将其功能与已知的合法HTTP库的功能进行比较。”

特别是，ReversingLabs发现了41个恶意PyPI包，安全研究人员将其分为两种类型。

第一种是利用下载将第二阶段的恶意软件传送到受损系统，而第二种是信息窃取者。

Valentic说:“不良行为者在命名恶意包时调用首字母缩写HTTP并不罕见。开发人员经常使用HTTP库与第三方模块功能的适当api通信。”

安全研究人员写道：“这种背景使得HTTP库对恶意行为者和跟踪在线恶意活动的研究人员非常有趣。”

至于ReversingLabs检测到的恶意软件包，Valentic表示，它们有许多相似之处。

她在报告中写道:“与正版软件模块相比，这些软件包只包含几个文件，大多数文件的识别信息非常少。这些包中包含的功能和目的都是虚构的。这些软件包的真正目的是恶意的，没有描述。”

这些恶意包的列表和其中一些的详细描述可以在ReversingLabs咨询中找到。

Valentic警告说:“在PyPI、npm、RubyGems和GitHub等平台上的拼写攻击很常见。开发人员应该经常对其代码中的第三方库和其他依赖项进行安全评估。”

JavaScript开发者杰西·米切尔发现威胁者向开源npm存储库上传了超过1.5万个垃圾邮件包。