資安廠商 Check Point 近日發現，廣受 Python 開發者愛用的程式庫 PyPI，遭駭侵者植入多種惡意軟體套件供人下載安裝；用戶如果將之安裝在自己的電腦上，駭侵者即可輕易竊得電腦中的各種機敏資訊，包括登入資訊或 API 金鑰，開發者不可不慎。

Check Point 在近日發表的專文中指出，由於 PyPI 可以很容易的透過單行指令來安裝各種軟體套件，非常便捷，因此近來成為駭侵者的攻擊目標。

Check Point 說，這類具攻擊的具體手法是，駭侵者上傳一些含有惡意程式碼的套件，並偽裝成安裝者眾多的熱門 Python 套件，以魚目混珠的手法，誘使開發者下載安裝在自己的開發用設備上，駭侵者即可得逞。

Check Point 的資安團隊，一共在 PyPI 中發現 10 個含有惡意程式碼的程式套件，分別如下：

• Ascii2text
• Pyg-utils
• Pymocks
• PyProto2
• Test-async
• Free-net-vpn
• Free-net-vpn2
• Zlibsrc
• Browserdiv
• WinRPCexploit

Check Point 指出，近期這類利用惡意程式開發套件，來進行供應鏈攻擊的案例，有愈來愈多的趨勢；發生在本（2022）年 6 月的 Pygrata 攻擊事件，即是駭侵者利用這種手法來竊取用戶 AWS 登入資訊與多種環境變數的案例。

建議開發者在利用 PyPI 這類程式庫安裝套件時，應詳細閱讀文件，確認套件名稱、版本、發行者的真實性，以免誤安裝到惡意程式庫。

• 參考連結

CloudGuard Spectral detects several malicious packages on PyPI – the official software repository for Python developers

https://research.checkpoint.com/2022/cloudguard-spectral-detects-several-malicious-packages-on-pypi-the-official-software-repository-for-python-developers/

PyPi python packages caught sending stolen AWS keys to unsecured sites

https://www.bleepingcomputer.com/news/security/pypi-python-packages-caught-sending-stolen-aws-keys-to-unsecured-sites/