攻擊者發布惡意版本的 PyTorch Lightning 套件至 Python Package Index (PyPI),安裝後會竊取瀏覽器、環境檔案及雲端服務的登入憑證。此攻擊針對開發者與技術人員,旨在竊取敏感資訊以進行後續犯罪活動。
🔍 防詐解析
攻擊者利用開發者對開源生態的信任,在 PyPI 上發布名稱與知名框架 PyTorch Lightning 極為相似的惡意套件。一旦開發者下載並安裝該套件,惡意程式便會在背景執行,掃描並竊取瀏覽器儲存的密碼、環境變數檔案以及雲端服務的存取金鑰。這種手法屬於技術基礎設施詐騙,專門針對軟體開發人員進行精準打擊。
一般開發者容易在尋找快速解決方案時,忽略對套件來源的嚴格審查,或未驗證套件發布者的身份與歷史記錄。許多開發者習慣直接複製貼上程式碼或安裝套件,卻未檢查其程式碼邏輯與權限請求,導致惡意程式趁虛而入。
建議開發者務必從官方管道下載套件,並仔細核對發布者身份與套件版本歷史。安裝前應使用靜態分析工具掃描程式碼,並限制套件的網路存取權限,避免在開發環境中直接執行未經驗證的第三方程式,以保護個人與組織的數位資產安全。
🚩 紅旗特徵
- •非官方來源發布的開發套件
- •套件名稱與知名開源專案高度相似
- •安裝後執行不明後台程式
關鍵字
PyTorch LightningPyPIcredential stealer惡意套件開發者
查看原始報導 ↗(BleepingComputer)