腾讯安全应急响应中心博客 ·

源头之战，不断升级的攻防对抗技术 —— 软件供应链攻击防御探索

💡 原文中文，约900字，阅读约需2分钟。

📝

内容提要

文章讨论了两种恶意软件包的攻击方式：libpeshnx利用动态发现服务触发恶意代码，jeilyfish通过子母包加载实施信誉欺骗和代码混淆，窃取用户的SSH和GPG密钥及敏感文件。这些攻击手法隐蔽且防护难度较大。

🎯

🔎

libpeshnx和jeilyfish的攻击手法都具有高度隐蔽性，前者通过动态发现服务在用户执行命令后才触发恶意代码，而后者则利用子母包加载和信誉欺骗，增加了检测难度。这种隐蔽性使得用户在不知情的情况下可能会执行恶意代码，导致信息泄露和安全风险。

尽管npm和pypi等平台有一定的包名相似度检测和审核机制，但对于libpeshnx和jeilyfish这样的攻击手法，现有的防护措施仍显不足。用户在安装软件包时需提高警惕，尤其是对不熟悉的包和命令，避免因轻信而导致安全隐患。

jeilyfish通过伪造SourceRank信誉信息来增加攻击的可信度，这种信誉欺骗手法使得用户更容易上当。用户在选择软件包时，应关注包的来源和信誉，避免因盲目信任而下载恶意软件，保护个人敏感信息。

❓

libpeshnx利用动态发现服务，在用户执行命令后触发恶意代码。

jeilyfish通过子母包加载实施信誉欺骗和代码混淆，增加了攻击的隐蔽性。

libpeshnx通过setuptools.installation生成可执行的egg文件，用户执行后会运行恶意代码。

jeilyfish通过填写真实的jellyfish官方托管地址伪造SourceRank信誉信息。

这两种攻击手法隐蔽且防护难度较大，尤其是jeilyfish的代码混淆和信誉欺骗。

jeilyfish的恶意代码主要窃取SSH和GPG密钥及敏感文件。

🏷️