行業新聞與部落格

安全研究人員發現了一種名為“aiocpa”的惡意 Python 包索引 (PyPI) 包，旨在竊取加密貨幣錢包資料。 

該軟體包偽裝成合法的加密客戶端工具，同時秘密將敏感資訊洩露給 Telegram 機器人。Reversing Labs 的研究人員發現並報告了這一威脅，並將其從 PyPI 中刪除。

11 月 21 日，aiocpa 被發現透過向最初無害的工具釋出看似真實的更新來逃避傳統的安全檢查。utils/sync.py 檔案中的混淆程式碼揭示了 CryptoPay 初始化函式的包裝器，旨在提取令牌和其他敏感資料。 

進一步分析表明，該程式碼使用了多層 Base64 編碼和 zlib 壓縮來隱藏其惡意意圖。

與許多針對開源儲存庫的攻擊不同，aiocpa 的建立者避免使用冒充策略。相反，他們透過將軟體包展示為合法工具來建立使用者群。 

“乍一看該軟體包的專案頁面，並沒有什麼可疑之處。它看起來像一個維護良好的加密支付 API 客戶端軟體包，自 2024 年 9 月以來發布了多個版本。它還有一個組織良好的文件頁面，”Reversing Labs 解釋道。

研究人員還注意到，有人試圖接管現有的 PyPI 專案“pay”，以利用其現有的使用者群。

開發人員的教訓

Reversing Labs 進一步警告稱，aiocpa 事件凸顯了開發人員應採取的關鍵步驟，以保護其軟體的安全：

• 固定依賴項和版本以防止意外更新

• 使用雜湊檢查來驗證包的完整性

• 使用行為分析工具執行高階安全評估

Reversing Labs 表示：“這一事件清楚地提醒我們，開源軟體安全威脅正在日益增多，而且越來越難以檢測。”

該公司還表示，威脅行為者為隱藏其惡意行為而採取的措施使得難以識別供應鏈威脅，即使他們努力評估包裹的質量和完整性。

“隨著威脅行為者的日益老練以及現代軟體供應鏈的複雜性，需要將專用工具納入您的開發流程，以幫助預防這些威脅並降低相關風險。”