admin

一场针对 Chrome 浏览器扩展程序的大规模攻击活动浮出水面，导致至少 16 个扩展程序被恶意代码感染，并使超过 600,000 名用户面临数据泄露和凭证盗窃的风险。

近期，Python包管理平台PyPI（Python Package Index）的安全团队隔离了名为“aiocpa”的库，该库被发现包含恶意代码，利用Telegram机器人窃取用户的加密密钥。这一事件再度敲响了软件供应链攻击的警钟。 事件背景 “aiocpa”是一款同步与异步的Crypto Pay API客户端库，自2024年9月上线以来已被下载12,100次。然而，最近的更新中出现恶意代码，被安全公司Phylum发现后曝光。为了防止进一步的传播，PyPI已将该库隔离，用户无法再安装，同时开发者也无法修改包内容。 目前尚不清楚恶意更新是否由原开发者发布，或者其账号被攻击者劫持。 恶意代码的细节 恶意代码首次出现在版本0.1.13中。攻击者修改了库中的“sync.py”脚本，加入了一个被多次压缩和编码的代码块。该代码块在库安装后会被解码并执行，其作用是捕获用户的Crypto Pay API密钥并通过Telegram机器人发送给攻击者。 Phylum团队指出，这段代码被递归编码和压缩了50次，以增加检测难度。 “Crypto Pay”简介 Crypto Pay是基于Crypto Bot (@CryptoBot)的支付系统，允许用户通过API接收加密货币支付并将加密货币转账给其他用户。攻击者显然瞄准了这一支付系统中的API密钥，通过其窃取受害者的敏感数据。 攻击特点与警示 这一事件暴露了一个值得警惕的安全问题：攻击者可以保持GitHub等开源仓库的代码干净，但在发布到PyPI等生态系统时嵌入恶意代码。很多开发者在选择库时仅检查其GitHub源码，而忽视了PyPI版本，给攻击者提供了可乘之机。 Phylum强调，软件包过去的安全记录并不能保证其未来的安全性。这次事件提醒开发者，下载前应对软件包的源码进行仔细检查，而不仅仅依赖其声誉或历史版本的安全性。 应对措施与建议 加强代码审查：在安装第三方库前，仔细检查其PyPI版本中的代码，尤其是涉及加密和支付的库。 启用包隔离工具：使用虚拟环境或容器技术隔离第三方库，避免直接影响生产环境。 监控异常行为：在开发和运行时，设置监控机制以发现未经授权的网络通信，例如连接Telegram API的行为。 及时更新依赖：一旦发现已安装的库存在恶意代码，应尽快移除并替换为可靠的替代方案。 总结 “aiocpa”事件再次提醒我们，软件供应链安全不容忽视。开发者在使用开源软件时应保持警惕，不仅要关注其GitHub仓库，还要对实际分发的包进行严格审查。只有不断提升安全意识，才能有效应对日益复杂的供应链攻击威胁。

Defiant警告称，Really Simple Security插件存在身份验证绕过漏洞，影响超过400万个WordPress网站，攻击者可未授权登录管理账户，严重威胁安全。

在复杂的网络安全环境中，威胁者更新手段进行攻击。Fortinet发现，恶意活动利用改造的Remcos RAT对Windows设备进行全面接管。这提醒用户需重视安全防护与意识培训。