21CTO导读：CTO注意了，恶意攻击者们正在利用域名抢注、域名混淆以及虚假账户等方式，将基于 Python 的恶意软件植入开源项目，为开源软件供应链的安全敲响了新警钟。

一个名为“香蕉小队”（Banana Squad）的安全威胁型组织从 2023 年 4 月起持续活跃，在持续的活动中对 60 多个 GitHub 存储库进行了大规模的木马攻击，并为攻击者提供基于 Python 的黑客工具包。

一家名为 ReversingLabs 的组织发现，这些恶意公共存储库不断模仿知名的黑客工具，看似合法，但实际却注入了隐藏的后门逻辑。

这家机构的首席恶意软件研究员罗伯特·西蒙斯（Robert Simmons）在一篇文章中这样表示：“乍一看，似乎是用 Python 编写的黑客工具，但实际上是其它同名的存储库的木马病毒。这些存储库是通过 ReversingLabs 网络威胁情报数据中集中恶意 URL 指标的逆向推导所发现的。”

西蒙斯特别指出，此次行为代表着从公共的 npm / PyPI 仿冒转向了对 GitHub 等平台更隐蔽的利用。

伪装成工具的恶意软件

在发现的 67 个中毒存储库均伪装成合法的实用程序，例如用户凭证获取程序、漏洞扫描程序或其他信息安全主题的工具。但这些程序中都带有恶意代码，这些恶意代码被隐秘地嵌入在大量的字符串、空白间隙，甚至隐藏在屏幕显示之外的神秘逻辑中。

西蒙斯这样披露香蕉小队的危险，他说道：“被木马感染的代码行中有很多空格，即使在 4K 的大显示器上最大化窗口，也无法看到恶意代码。然而，使用 Spectra Analyze 的预览功能来查看文件，就能清楚地看到其内容。”

攻击者将有危险的 Python 代码塞进一行难以阅读的长代码中，希望用户永远不会滚动到那里，因为很难被发现。

Banana Squad 此前曾以多个别名方式向开源代码生态系统推送了数百个基于 Windows 的恶意软件包，包括版本控制系统、PyPI 和 npm 包管理器。这些软件包于 2023 年 4 月被管理员发现，但它窃取了包括系统详细信息和加密钱包在内的敏感数据，在被删除之前已被下载近 75000 次！

运动的一个迹象

ReversingLabs 观察到一些关于这些存储库的特殊迹象，这有助于我们从源头上发现感染。

“对于大多数恶意存储库，其所有者在其 GitHub 帐户下只列出了一个（恶意的）存储库，”Simmons 如此提出。“这表明这类用户帐户基本是伪造的，其创建目的就是托管恶意存储库。”

其他的研究人员发现，这些存储库的名称与一个或多个其他未受木马病毒感染的存储库名称相同，表明存在某种形式的域名抢注。此外，这些存储库的“关于”部分充斥着与原始存储库主题相关的搜索关键词，并且经常包含表情符号，通常是火焰或火箭，暗示人们，它使用了人工智能。

ReversingLabs 为我们分享了一份恶意软件包的活动指标列表，包括域名URL 和文件名，以及所有 67 个标记的存储库，提供给开发者注意。

Simmons 最后还提醒我们说：“对于依赖这些开源平台（GitHub）的开发者来说，务必反复检查所使用的存储库，是否确实包含预期内容。一个建议，避免遭遇此类威胁的最佳方法是将目标存储库与之前已知的良好版本软件或源代码进行比较。”

各位开发者和小伙伴请一定谨慎并留意。

作者：行动的大雄