行业新闻与博客

安全研究人员发现了一种名为“aiocpa”的恶意 Python 包索引 (PyPI) 包，旨在窃取加密货币钱包数据。 

该软件包伪装成合法的加密客户端工具，同时秘密将敏感信息泄露给 Telegram 机器人。Reversing Labs 的研究人员发现并报告了这一威胁，并将其从 PyPI 中删除。

11 月 21 日，aiocpa 被发现通过向最初无害的工具发布看似真实的更新来逃避传统的安全检查。utils/sync.py 文件中的混淆代码揭示了 CryptoPay 初始化函数的包装器，旨在提取令牌和其他敏感数据。 

进一步分析表明，该代码使用了多层 Base64 编码和 zlib 压缩来隐藏其恶意意图。

与许多针对开源存储库的攻击不同，aiocpa 的创建者避免使用冒充策略。相反，他们通过将软件包展示为合法工具来建立用户群。 

“乍一看该软件包的项目页面，并没有什么可疑之处。它看起来像一个维护良好的加密支付 API 客户端软件包，自 2024 年 9 月以来发布了多个版本。它还有一个组织良好的文档页面，”Reversing Labs 解释道。

研究人员还注意到，有人试图接管现有的 PyPI 项目“pay”，以利用其现有的用户群。

开发人员的教训

Reversing Labs 进一步警告称，aiocpa 事件凸显了开发人员应采取的关键步骤，以保护其软件的安全：

• 固定依赖项和版本以防止意外更新

• 使用哈希检查来验证包的完整性

• 使用行为分析工具执行高级安全评估

Reversing Labs 表示：“这一事件清楚地提醒我们，开源软件安全威胁正在日益增多，而且越来越难以检测。”

该公司还表示，威胁行为者为隐藏其恶意行为而采取的措施使得难以识别供应链威胁，即使他们努力评估包裹的质量和完整性。

“随着威胁行为者的日益老练以及现代软件供应链的复杂性，需要将专用工具纳入您的开发流程，以帮助预防这些威胁并降低相关风险。”