目录
摘要
在 PyPI 上发现了多个针对加密货币开发者及其应用程序的恶意 Python 软件包。这些软件包通过执行一种隐蔽的质押操作来窃取资金。在这起特定案例中,攻击者 hook 了一个合法的质押函数,将资金重定向到他们自己的钱包。此次攻击利用了 typosquatting(拼写混淆)技术来针对热门的 bittensor 软件包。
以下恶意软件包由 GitLab 漏洞研究团队 披露:
[email protected][email protected][email protected][email protected][email protected]
SafeDep 如何保护开发者?
SafeDep 开源工具,特别是 vet 和 pmg,可以帮助开发者抵御恶意软件包及其他开源软件供应链攻击。
我们的自动化系统将这些软件包标记为可疑,基于多个信号,包括在 typosquatting 软件包中识别出恶意代码和意图。查看示例
- 硬编码的目标钱包地址
5FjgkuPzAQHax3hXsSkNtue8E7moEYjTgrDDGxBvCzxc1nqR - 强制
transfer_all=True表示未经用户同意的操作
| 恶意软件包 | SafeDep 分析 | 标记时间 |
|---|---|---|
[email protected] | 链接 | 2025 年 8 月 6 日 凌晨 2:53:48 |
[email protected] | 链接 | 2025 年 8 月 6 日 凌晨 2:59:52 |
[email protected] | 链接 | 2025 年 8 月 6 日 凌晨 3:03:45 |
[email protected] | 链接 | 2025 年 8 月 6 日 凌晨 3:16:03 |
[email protected] | 链接 | 2025 年 8 月 6 日 凌晨 3:17:10 |
SafeDep vet 在 CI/CD 流水线中通过 PR 尝试添加任何被入侵的软件包时向用户发出警报。
SafeDep pmg 在开发者尝试安装任何被入侵的软件包时发出警报。
如何保护您的项目?
在 SafeDep,我们相信 代码 是事实的来源。我们执行代码分析来检测开源软件包中的漏洞和恶意代码。如果这不可行,可以使用通用的安全最佳实践来防御常见的开源软件供应链攻击。
- 在使用前始终对开源软件包进行漏洞和恶意代码审查
- 确保分支保护规则要求在合并前进行代码审查
- 通过软件包的流行度、社区或代码审查建立信任
- 避免使用最新发布的软件包版本
- 仅使用来自可信来源的开源软件包
SafeDep vet 无缝集成到您的 CI/CD 流水线中,并在通过 PR 尝试添加任何被入侵的软件包时发出警报。SafeDep pmg 在开发者尝试安装任何被入侵的软件包时发出警报。
参考资料
-
pypi
-
oss
-
malware
-
crypto
SafeDep 博客最新动态
关注以获取开源安全与工程的最新更新和洞察