【通知】腾讯洋葱反入侵系统检测到多例恶意Python库供应链投毒

软件供应链投毒因其隐蔽性、易扩散性等特征,一直是今年APT攻击的主要手法之一。众多攻击者发布恶意Python库进行投毒污染,进而控制用户电脑,影响范围广泛。

近日,腾讯洋葱反入侵系统检测发现,多个国内开源镜像站存在”jeIlyfish”、”libpeshnx”、”trustypip”、”pwniepip”等多款python恶意库。

由于该问题可能通过开源镜像站影响广大用户,腾讯安全应急响应中心(TSRC)秉承共建安全生态的原则,已紧急知会国内部分受影响的开源镜像站安全团队或维护人员进行处理。TSRC在此建议各开源镜像站,请尽快自查处理,确保恶意库得到清除,保障用户安全。
 

具体细节如下:

2019-12-01:德国开发人员LukasMartini发现PyPI中存在恶意钓鱼python库:python3-dateutil及jeIlyfish,并向PyPI官方举报。

2019-12-02:PyPI官方下架恶意包python3-dateutil、jeIlyfish。

2019-12-07:腾讯洋葱反入侵系统通过沙箱恶意行为检测到Python库jeIlyfish存在恶意行为触发安全告警,分析得知该恶意库获取SSH和GPG密钥等敏感文件并发送至攻击者服务器。【附1】

2019-12-11:腾讯洋葱团队发现国内多个镜像站受该恶意库jeIlyfish影响,TSRC通过邮件知会国内部分受影响的开源镜像站维护团队或安全团队进行处理。

2019-12-12:腾讯洋葱反入侵系统再次在国内源监控发现3例以入侵控制受害者机器为目的的恶意Python包 (libpeshnx,trustypip,pwniepip)【附2】,TSRC再次通知相关受影响镜像站处理。
 
更多技术细节分析文章后续将会分享,感谢关注。

【附1】恶意库jeIlyfish中的恶意代码:

【附2】恶意库trustypip和pwniepip中用于反弹shell的代码: