概述
近日阿裡雲·雲安全技術實驗室發現通過惡意文本檢測平台發現一起軟體供應鍊告警事件,安全研究人員經過排查後發現有攻擊嫌疑,并第一時間向官方通報,最終官方确認并移除該惡意包。
惡意包分析
該惡意包與正常pip包venom名稱極為相似,疑似模仿包名用于投毒行為,如果使用者安裝pip包手誤敲錯相關指令,則很有可能遭受攻擊。
攻擊腳本如下:
樣本經過一定程度的混淆加密,解密關鍵資訊後如下:
腳本會遠端下載下傳指定url資料, 并執行相關内容。
截止發稿,該url通路會傳回指定字元串,猜測可能是遠端伺服器背景增加了某些驗證限制。
經查詢該域名ip位址和位址如下:
該包說明顯示該包用于安全研究,我們做出以下兩點可能性推測:
1.該包用于安全研究,但是該行為明顯超過安全研究的底線,已經危害供應鍊安全
2.安全研究說明隻是某種包裝,用于迷惑稽核人員,後期可能會修改軟體包頁面說明,并放開背景的payload限制,進而用于攻擊
時間線
2021.11.2 venom22 惡意包上傳
2021.11.3 阿裡雲安全研究人員發現并通報官方,官方于當天移除該惡意包
疑似該團隊系列其他惡意包
IOC
url:
http://zevel.site/payload-02md5:
bdf5ecc4550e4e834069d0b7a32c127b
d00e145ef661168f004155370bad936d
相關建議
近些時間軟體供應鍊安全問題頻發,也暴露了軟體供應鍊安全的脆弱性,也表明即使是官方源也可能遭受投毒,需要相關使用者謹慎識别和使用相關依賴包,以免遭受攻擊。