近半年來，一個未知的威脅行為者一直在向Python包索引（PyPI）資源庫發(fā)布typosquat包，其目的是發(fā)布能夠獲得持久性、竊取敏感數(shù)據(jù)和訪問加密貨幣錢包以獲取經(jīng)濟利益的惡意軟件。

Checkmarx 在一份新報告中說，這 27 個軟件包偽裝成流行的合法 Python 庫，吸引了數(shù)千次下載。大部分下載來自美國、中國、法國、德國、俄羅斯、愛爾蘭、新加坡、英國和日本。

該軟件供應(yīng)鏈安全公司說：這次攻擊的一個顯著特點是利用隱寫術(shù)將惡意有效載荷隱藏在一個圖像文件中，增加了攻擊的隱蔽性。

這些軟件包包括 pyefflorer、pyminor、pyowler、pystallerer、pystob 和 pywool，其中最后一個軟件包于 2023 年 5 月 13 日被植入。

這些軟件包的一個共同點是使用 setup.py 腳本包含對其他惡意軟件包（即 pystob 和 pywool）的引用，這些軟件包部署了一個 Visual Basic 腳本（VBScript），以便下載和執(zhí)行一個名為 "Runtime.exe "的文件，從而實現(xiàn)在主機上的持久化。

二進制文件中嵌入了一個編譯文件，能夠從網(wǎng)絡(luò)瀏覽器、加密貨幣錢包和其他應(yīng)用程序中收集信息。

Checkmarx 觀察到的另一種攻擊鏈將可執(zhí)行代碼隱藏在 PNG 圖像（"uwu.png"）中，隨后解碼并運行該圖像，以提取受影響系統(tǒng)的公共 IP 地址和通用唯一標識符（UUID）。

特別是 Pystob 和 Pywool，它們打著 API 管理工具的幌子發(fā)布，只是為了將數(shù)據(jù)外泄到 Discord webhook，并試圖通過將 VBS 文件放置在 Windows 啟動文件夾中來保持持久性。

Checkmarx表示：這一活動再次提醒我們，當今的數(shù)字環(huán)境中存在著無處不在的威脅，尤其是在以協(xié)作和開放代碼交換為基礎(chǔ)的領(lǐng)域。

針對軟件供應(yīng)鏈的持續(xù)攻擊浪潮也促使美國政府在本月發(fā)布了新的指南，要求軟件開發(fā)商和供應(yīng)商維護軟件安全并提高安全意識。

網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）、國家安全局（NSA）和國家情報局局長辦公室（ODNI）表示：鑒于近期備受關(guān)注的軟件供應(yīng)鏈事件，建議采購組織在其采購決策中指定供應(yīng)鏈風(fēng)險評估。

軟件開發(fā)商和供應(yīng)商應(yīng)改進其軟件開發(fā)流程，不僅要降低對員工和股東的傷害風(fēng)險，還要降低對用戶的傷害風(fēng)險。

參考鏈接：https://thehackernews.com/2023/11/27-malicious-pypi-packages-with.html