早前由於UbuntuSnapStore商店裡近期多次出現惡意軟件,尤其是針對加密貨幣錢包之類的惡意軟件,為此Canonical不得不抽調人手修改流程,同時開發者提交應用不再是自動化的,而是需要Canonical工程團隊的成員進行人工審核後才允許發佈。這種做法雖然很麻煩但也是沒有辦法的事情,比如3月30日知名存儲庫PyPI就遭到黑客攻擊,黑客使用自動化工具向PyPI批量提交惡意軟件。
PyPI 中出現惡意軟件已經是個超級平常的事情,這些惡意軟件一方面針對開發者進行供應鏈攻擊,另一方面也會竊取敏感信息包括加密錢包的數據等。
盡管 PyPI 官方並未透露為什麼暫停註冊和提交軟件,不過事後安全公司 Checkmarx 稱,在關閉註冊前幾個小時,PyPI 遭到黑客攻擊。
黑客當然不是 DDoS,而是利用一種被稱為拼寫錯誤的技術批量提交大量惡意軟件,有些開發者安裝軟件時可能會拼錯單詞,黑客隻要批量提交足夠多的惡意軟件包,那肯定會有些命中開發者。
研究人員分析後發現,黑客提交的惡意軟件包具有以下目的:竊取加密錢包、瀏覽器中的敏感數據,包括 Cookie、擴展數據等和各種憑證等,這隻是第一階段攻擊,黑客還是用有效的惡意負載在重啟系統後依然實現持久化。
這些惡意軟件可能都是自動化創建的,它們模仿流行的軟件名稱,PyPI 官方如果靠手動封禁賬號那可能是個巨大的工程,迫於無奈隻能直接暫停新用戶註冊以緩解問題。
此次 PyPI 暫停新用戶註冊超過 10 個小時,之後恢復正常,不過接下來黑客還會繼續提交更多惡意軟件,所以開發者們下載安裝軟件時一定要謹慎。