近日，Python 软件包索引（PyPI）突然暂停了用户注册和新项目创建，以阻止正在进行的恶意软件活动。

众所周知，PyPI 上有成千上万的软件包，能够帮助开发人员查找和安装 Python 软件包，威胁攻击者对其早已”垂涎许久“，这些人经常上传虚假或伪造的软件包，以损害软件开发人员的利益，以便进行供应链攻击。

这些举动迫使 PyPI 管理员近日宣布暂停所有新用户注册，以减少恶意活动。

PyPI 平台状态（Bleeping Computer）

恶意软件活动

Checkmarx 方面表示，威胁攻击者近期开始向 PyPI 上传了 365 个软件包，这些软件包的名称模仿合法项目。软件包中的 "setup.py "文件里包含了恶意代码，一旦受害者安装执行，威胁攻击者就会试图从远程服务器获取额外的有效载荷。

值得一提的是。为了逃避检测，使用 Fernet 模块对恶意代码进行加密，并在需要时动态构建远程资源的 URL。此外，有效载荷是一个具有持久能力的信息窃取程序，目标是存储在网络浏览器中的数据，如登录密码、cookie 和加密货币扩展。

信息窃取程序有效载荷（Checkmarx）

Checkmarx 提供了研究人员发现的恶意信息的完整列表，所有信息都有相同的版本号，包含相同的恶意代码，名称似乎也是通过随机化生成，包含许多合法软件包的大量 typosquatting 变体。根据 Check Point 的报告，恶意程序包的清单超过 500 个，且是分两个阶段部署的，每个软件包都来自具有不同名称和电子邮件的账户。

Check Point 进一步解释称，每个维护者账户只上传了一个软件包，表明威胁攻击者在策划攻击时使用了自动化手段。

Python 软件包索引（PyPI）资源库多次出现安全问题

2024 年 2 月，多家媒体披露，Python 软件包索引（PyPI）资源库中一个“休眠已久”的软件包 django-log-tracker 在两年后突然再次更新了，研究人员发现，威胁攻击者利用其传播名为 Nova Sentinel 的信息窃取恶意软件。

研究人员指出，Django-log-tracker 自上线以来已经被其它用户下载了 3866 次，但链接的 GitHub 存储库自 2022 年 4 月 10 日以来没有更新过一次，本次恶意更新表明该库开发者的 PyPI 账户很可能已经被威胁攻击者入侵了。

Phylum 安全研究人员强调，此次 PyPI 软件包传播恶意软件案例有趣之处在于，攻击向量似乎是通过一个受损的 PyPI 账户进行了一次供应链攻击，如果该软件包这是一个非常“流行”的包，那么任何将此包列为依赖项的项目，如果在其依赖项文件中没有指定版本或指定灵活版本，都会获取此包的最新恶意版本。

参考文章：

https://www.bleepingcomputer.com/news/security/pypi-suspends-new-user-registration-to-block-malware-campaign/

https://thehackernews.com/2024/02/dormant-pypi-package-compromised-to.html