Trang chủ Tin Tức

CẢNH BÁO: Giả mạo các gói ngôn ngữ Python

CẢNH BÁO: Giả mạo các gói ngôn ngữ Python

Vào cuối tuần, Cơ quan ứng cứu khẩn cấp máy tính Slovakia SK-CSIRT đã ban hành một cảnh báo rằng họ đã tìm thấy một số gói giả mạo trong kho Python.

Các gói này có tên tương tự như các chương trình chính thức, để lừa các nhà phát triển trong quá trình tải các biến thể độc hại. Chúng bao gồm:

  • acqusition, giả mạo gói acquisition

  • apidev-coop, giả mạo gói apidev-coop_cms

  • bzip, giả mạo gói bz2file

  • crypt, giả mạo gói crypto

  • django-server, giả mạo gói django-server-guardian-api

  • pwd, giả mạo gói pwdhash

  • setup-tools, giả mạo gói setuptools

  • telnet, giả mạo gói telnetsrvlib

  • urlib3, giả mạo gói urllib3

  • urllib, giả mạo gói urllib3

python-1-562x309@2x-op.png

Chúng đã được tải lên kho ngôn ngữ chính thức của Python từ ngày 2 đến ngày 4 tháng 6 năm nay, bởi một người giấu tên.

SK-CSIRT cho biết rằng các gói này đã được các nhà phát triển tải về từ tháng 6 năm nay và đã bị gỡ bỏ khỏi kho Python trong tháng này.

Các gói chứa mã cố gắng để kết nối với một máy chủ web đang chạy trên một địa chỉ IP ở mạng lưới Trung Quốc.

iTnews đã kết nối với máy chủ và nhận được một thông điệp chào mừng nói rằng "Thật vui khi có một ai đó đã tìm thấy nó ! :) Tôi rất tò mò về việc phải mất bao lâu để mọi người tìm thấy những gói 'xấu' này. Như bạn thấy, đó chỉ là một kịch bản đồ chơi, không có hại, hy vọng bạn thưởng thức nó. "

Tuy nhiên, SK-CSIRT đã nhận thấy rằng đây là một lời cảnh báo nghiêm trọng.

"Thành công của cuộc tấn công dựa trên sự sơ suất của nhà phát triển, hoặc quản trị viên hệ thống, những người không kiểm tra tên của gói trọn vẹn".

"Nó cũng dễ dàng để xuất bản bất kỳ ngôn ngữ Python vào kho PyPI, mà không có và đảm bảo chất lượng hoặc quá trình xem xét mã."

Các tình nguyện viên đang chạy www.pytosquatting.org đã cố gắng "phân loại tên" các gói ngôn ngữ Python giả mạo để giảm thiểu vấn đề.

Các nhà phát triển cũng khuyên sử dụng trình cài đặt Pip Python để thực hiện tra cứu an toàn và không thông báo lỗi, các bộ giả mạo sẽ không được xác nhận hợp lệ.

Nguồn: Blog Cường Quách (cuongquach.com)

>> Xem thêm: Chuyên gia phát hiện 10 lỗ hổng bảo mật trên thiết bị phát wifi Router D-link 850