Python 包索引的供应链攻击与 JuiceStealer 恶意软件

文章重点

近期针对 Python 包索引PyPI 的供应链攻击，导致至少有两个 PyPI 项目遭到破坏。根据 Ars Technica 的报导，这是一起针对伸展 JuiceStealer 凭证盗取恶意软件的更大运动的一部分。

JuiceStealer 最初通过类似错字typosquatting进行分发，该恶意软件基于 Net 编程框架。根据 SentinelOne 和 Checkmarx 的报告，开发者 JuiceLedger 通过虚假的加密货币主题应用程序最终开始了该恶意软件的散播。据发现，这种恶意软件活动从去年开始，并且自那时以来持续演变。研究人员表示：“JuiceLedger 似乎在短短几个月内迅速从小规模的机会性感染进化，进而对一个主要软体分发商进行供应链攻击。这次对 PyPI 贡献者的攻击复杂性升级，涉及到有针对性的钓鱼活动、数百个类似错字的包以及对受信任的开发者的账户接管，表明威胁行为者拥有充足的时间和资源。”

供应链攻击背后的问题

这些事件提醒我们，随著科技的进步，安全防护措施也需要随之加强。开发者和用户都应提高警惕，随时防范可能出现的 威胁。