資訊安全新知分享
NEITHNET 資安實驗室
Python 是一種功能強大且易於學習的程式語言,因其簡單的語法和廣泛的應用領域而受到歡迎。無論是在Web開發、數據分析、機器學習、自動化腳本編寫,還是桌面應用程序和遊戲開發,都能進行,並且擁有豐富的社區資源和套件,能幫助開發者更高效的完成各種編程任務。
Python擁有眾多的第三方套件庫和框架,例如Django和Flask這樣的Web開發框架,NumPy和Pandas這樣的數據分析庫,TensorFlow和PyTorch這樣的機器學習工具框架,以及Tkinter和Pygame開發桌面應用程序、遊戲領域的框架,進一步擴展了Python的應用範圍。
PyPI (Python Package Index)是Python社群中最重要的第三方庫和工具的集中倉庫。它提供了一個平台,讓開發者能夠發佈和分享Python套件包。可以使用pip命令來安裝PyPI套件包。
例如:安裝requests:
由於Python的廣泛應用及受歡迎程度,也讓駭客開始在PyPI裡製作一些惡意套件包,提供使用者下載安裝,造成資安攻擊事件發生。
駭客透過使用者安裝PyPI套件試圖竊取GCP帳密的資案事件:
Checkmarx研究人員發現2024年6月上傳到PyPI平台上的 “lr-utils-lib” 套件,有資安上的疑慮,會針對macOS的作業系統竊取GCP(Google Cloud Platform) 帳密而造成資料外洩。從一部分“lr-utils-lib”套件setup.py簡化版程式裡可以看出一些惡意行為的痕跡。
在執行安裝套件的時候會先確認系統是否為macOS系統(darwin系統是一個開源操作系統,macOS的基礎)。
取得macOS IOPlatformUUID(唯一識別碼),並使用SHA-256演算法對其進行雜湊處理。
在程式裡有發現一個名為go的列表,裡面有64個經過雜湊後的UUID資料。發現程式會比對雜湊後的IOPlatformUUID是否在列表裡,看得出來有在針對特定的UUID做攻擊。如果有在列表裡就會將”~/.config/gcloud” 資料夾下的”application_default_credentials.json”,”credentials.db”二個檔案(這些文件通常包含Google Cloud 驗證資料),嘗試透過HTTPS POST請求將這些檔案的內容傳送到名為”europe-west2-workload-422915[.]cloudfunctions[.]net”的遠端伺服器。如果資料外洩成功,攻擊者就能夠未經授權存取使用者的Google Cloud資源,造成資安危害。
攻擊流程:
意外牽扯出AI搜尋引擎的社交工程疑慮
發生 ”lr-utils-lib” PyPI套件包攻擊事件後,去尋找套件包的開發者為”Lucid Zenith”。而在Linkedln上搜尋發現有個帳號同為”Lucid Zenith”帳號,簡介上聲稱是Apex Companies, LLC公司的CEO。但實際上CEO另有其人,證實”Lucid Zenith”為假冒的CEO。目前也無法證實PyPI的攻擊與假冒CEO事件是否有所關連?
有趣的是在AI搜尋引擎上詢問,”Lucid Zenith”是否為APEX companies LLC公司的CEO?給出的回覆是,”Lucid Zenith”是APEX companies LLC公司的CEO。
很顯然AI搜尋引擎回復了錯誤的訊息,不確定是否是受到駭客的影響?還是AI 搜尋引擎本身存在的問題?
2024年9月再詢問一次AI搜尋引擎,回覆已更新。『不,Lucid Zenith 與 Apex Companies, LLC 沒有關係,也不是該公司的執行長。Lucid Zenith是Apex Companies執行長的說法似乎是來自惡意LinkedIn個人資料的虛假資訊。』,這突顯了AI搜尋引擎目前回覆內容正確性問題。現在網路上充斥著很多虛假的資訊,AI搜尋引擎如何過濾假資訊將是一個重要的課題。
PyPI攻擊防範對策及AI搜尋引擎使用注意事項
● 使用官方和受信任的來源,優先使用有良好評價和大量用戶的套件包。查看套件包的下載量和維護情況,選擇經常更新、維護的套件包。
● 使用不常見的套件包前,在PyPI上檢查是否來自可靠的開發者或組織。 並檢查套件包的詳細信息,包括發佈者和套件版本歷史,如果資訊量及下載量不多,請謹慎評估使用。
● AI搜尋引擎可以很快用對話的方式找到查詢內容,但以目前搜尋結果來看,還是會有引用或推薦到偽造的內容。建議使用者使用AI搜尋引擎查詢時,能再驗證搜尋結果的真實性,避免使用到偽造的內容,造成資安危害。
● 使用新的AI搜尋引擎前先了解隱私政策,會不會儲存你的搜尋內容及結果去應用,如果會,請謹慎評估後再決定使用。避免輸入敏感資訊,例如:身份證字號或信用卡號..等,避免被洩漏、被偽造使用。
參考資料:
https://www.ithome.com.tw/news/164242
https://checkmarx.com/blog/malicious-python-package-targets-macos-developers-to-access-their-gcp-accounts/
想了解更多產品資訊,請連至官網https://www.neithnet.com/zh/,或直接與NEITHNET資安專家聯繫:info@neithnet.com