行業新聞與博客

安全研究人員發現了一種名為“aiocpa”的惡意 Python 包索引 (PyPI) 包，旨在竊取加密貨幣錢包數據。 

該軟件包偽裝成合法的加密客户端工具，同時秘密將敏感信息泄露給 Telegram 機器人。Reversing Labs 的研究人員發現並報告了這一威脅，並將其從 PyPI 中刪除。

11 月 21 日，aiocpa 被發現通過向最初無害的工具發佈看似真實的更新來逃避傳統的安全檢查。utils/sync.py 文件中的混淆代碼揭示了 CryptoPay 初始化函數的包裝器，旨在提取令牌和其他敏感數據。 

進一步分析表明，該代碼使用了多層 Base64 編碼和 zlib 壓縮來隱藏其惡意意圖。

與許多針對開源存儲庫的攻擊不同，aiocpa 的創建者避免使用冒充策略。相反，他們通過將軟件包展示為合法工具來建立用户羣。 

“乍一看該軟件包的項目頁面，並沒有什麼可疑之處。它看起來像一個維護良好的加密支付 API 客户端軟件包，自 2024 年 9 月以來發布了多個版本。它還有一個組織良好的文檔頁面，”Reversing Labs 解釋道。

研究人員還注意到，有人試圖接管現有的 PyPI 項目“pay”，以利用其現有的用户羣。

開發人員的教訓

Reversing Labs 進一步警告稱，aiocpa 事件凸顯了開發人員應採取的關鍵步驟，以保護其軟件的安全：

• 固定依賴項和版本以防止意外更新

• 使用哈希檢查來驗證包的完整性

• 使用行為分析工具執行高級安全評估

Reversing Labs 表示：“這一事件清楚地提醒我們，開源軟件安全威脅正在日益增多，而且越來越難以檢測。”

該公司還表示，威脅行為者為隱藏其惡意行為而採取的措施使得難以識別供應鏈威脅，即使他們努力評估包裹的質量和完整性。

“隨着威脅行為者的日益老練以及現代軟件供應鏈的複雜性，需要將專用工具納入您的開發流程，以幫助預防這些威脅並降低相關風險。”