Cảnh Báo: Phát hiện các gói thư viện giả mạo trên kho ứng dụng Python 2017

327

Vào tuần cuối tháng 9/2017, Cơ quan ứng cứu khẩn cấp máy tính Slovakia SK-CSIRT đã ban hành một cảnh báo rằng họ đã tìm thấy một số gói thư viện giả mạo trong kho Python.

giả mạo thư viện python

Các gói này có tên tương tự như các chương trình chính thức, để lừa các nhà phát triển trong quá trình tải các biến thể độc hại. Các thư viện chương trình giả mạo bao gồm:

  • acqusition, giả mạo gói acquisition
  • apidev-coop, giả mạo gói apidev-coop_cms
  • bzip, giả mạo gói bz2file
  • crypt, giả mạo gói crypto
  • django-server, giả mạo gói django-server-guardian-api
  • pwd, giả mạo gói pwdhash
  • setup-tools, giả mạo gói setuptools
  • telnet, giả mạo gói telnetsrvlib
  • urlib3, giả mạo gói urllib3
  • urllib, giả mạo gói urllib3

Chúng đã được tải lên kho ngôn ngữ chính thức của Python từ ngày 2 đến ngày 4 tháng 6 năm 2017, bởi một người giấu tên. SK-CSIRT cho biết thêm rằng các gói này đã được các nhà phát triển tải về từ tháng 6 năm nay và đã bị gỡ bỏ khỏi kho Python trong tháng này (tháng 9).

Các gói chứa mã giả mạo sẽ cố gắng để kết nối với một máy chủ web đang chạy trên một địa chỉ IP ở mạng lưới Trung Quốc.

iTnews đã thử đã kết nối với máy chủ và nhận được một thông điệp chào mừng nói rằng “Thật vui khi có một ai đó đã tìm thấy nó ! Tôi rất tò mò về việc phải mất bao lâu để mọi người tìm thấy những gói ‘xấu’ này. Như bạn thấy, đó chỉ là một kịch bản đồ chơi, không có hại, hy vọng bạn thưởng thức nó.

Tuy nhiên, SK-CSIRT đã nhận thấy rằng đây là một lời cảnh báo nghiêm trọng. “Thành công của cuộc tấn công dựa trên sự sơ suất của nhà phát triển, hoặc quản trị viên hệ thống, những người không kiểm tra tên của gói thư viện chương trình trọn vẹn“.

“Nó cũng dễ dàng để xuất bản bất kỳ ngôn ngữ Python vào kho PyPI, mà không có sự đảm bảo về chất lượng hoặc quá trình xem xét mã nguồn thư viện được up lên.”

Các tình nguyện viên đang chạy www.pytosquatting.org đã cố gắng “phân loại tên” các gói ngôn ngữ Python giả mạo để giảm thiểu rủi ro ảnh hưởng sau khi phát hiện thành công vấn đề này.

Các nhà phát triển cũng khuyên các lập trình viên nên sử dụng trình cài đặt Pip Python để thực hiện tra cứu an toàn. Hãy cẩn thận các bạn nhé và đón đọc tin tức mới về công nghệ tại ‘Cuongquach.com‘.

Theo itNews

Đánh giá sao từ người đọc :
[ Tổng : 2 - Trung bình: 4.5 ]