通过官方存储库针对Python和JavaScript开发人员的恶意软件

一个活跃的恶意软件活动针对的是Python包索引（PyPI）和Python和JavaScript的npm存储库，这些存储库中有错别字和假模块，这些模块部署了勒索软件，这标志着影响软件供应链的最新安全问题。

拼写错误的Python包都模拟了流行的请求库：dequests、fequests、gequests、rdquests、requests、redusts、reuest、reqhests、reqkess、requefs、requesta、requeste、requestw、reqfsts、resests、request、rfquests、rrquests、rwquests、telnservr和tequests。

根据Phylum的说法，恶意软件包嵌入了源代码，根据受害者的操作系统和微体系结构，从远程服务器检索基于Golang的勒索软件二进制文件。

处决成功后，受害者的桌面背景被更改为演员控制的图像，并向美国中央情报局（CIA）宣称。它还设计用于加密文件，并要求加密货币支付100美元的赎金。

有一个迹象表明，攻击并不局限于PyPI，对手已经被发现在npm中发布了五个不同的模块：不和谐机器人、不和谐机器人16、不和谐所有意图机器人、discors.jd和telnservr。

Phylum首席技术官Louis Lang表示：“攻击者还发布了几个行为类似的npm包。”他补充道，每个库都包含与部署勒索软件相同的JavaScript代码。

ReversingLabs发现了另外10个PyPI包的一部分，该包推送W4SP窃取者恶意软件的修改版本，这是针对软件开发商的持续供应链攻击的一部分。据信，该攻击始于2022年9月25日左右。

这还不是全部。本月早些时候，以色列的软件供应链安全公司Legit security展示了一种针对Rust存储库（“Rust-lang”）的新攻击技术，该存储库滥用GitHub Actions来毒害合法的工件。

构建工件是由构建过程创建的文件，例如分发包、WAR文件、日志和报告。通过用木马版本替换实际模块，参与者可以窃取敏感信息或向所有下游用户提供额外的有效载荷。

Legit Security研究员Noam Dotan在一份技术报告中表示：“该漏洞是在一个名为‘ci.yml’的工作流中发现的，该工作流负责构建和测试存储库的代码”。

通过利用这一弱点，攻击者可以诱骗GitHub工作流执行带有恶意软件的工件，从而有效地篡改存储库分支、拉取请求、问题和发布。

Rust编程语言的维护人员于2022年9月26日解决了该问题，随后于2022年8月15日进行了负责任的披露。