網(wǎng)絡(luò)安全研究人員在 Python 包索引（PyPI）倉庫中識別出116個惡意軟件包，旨在通過定制后門程序感染 Windows 和 Linux 系統(tǒng)。

ESET 的研究人員 Marc-Etienne M.Léveillé 和 Rene Holt 在本周早些時候發(fā)布的一份報告中表示：“在某些情況下，最終的有效載荷是臭名昭著的 W4SP Stealer 的變體，和一個簡單的剪貼板監(jiān)控器用于竊取加密貨幣，或者兩者兼而有之。”

這些軟件包自2023年5月就已經(jīng)存在，目前初步估計已被下載超過1萬次。

該活動背后的惡意行為者已經(jīng)被發(fā)現(xiàn)，至少使用了三種技術(shù)將惡意代碼打包進(jìn) Python 包，即通過 test.py 腳本、在 setup.py 文件中嵌入 PowerShell，以及在 __init__.py 文件中以加密形式嵌入。

不管使用哪種方法，這次活動的最終目的都是通過惡意軟件感染目標(biāo)主機(jī)，主要是一個能夠遠(yuǎn)程執(zhí)行命令、數(shù)據(jù)竊取和截屏的后門。后門模塊在 Windows 上用 Python 實(shí)現(xiàn)，在 Linux 上則用 Go 實(shí)現(xiàn)。

此外，攻擊鏈還會導(dǎo)致 W4SP Stealer 或剪貼板監(jiān)控惡意軟件的部署，這些惡意軟件旨在密切關(guān)注受害者的剪貼板活動，并在存在的情況下，將原始錢包地址替換為攻擊者控制的地址。

這一發(fā)展是攻擊者發(fā)布受損 Python 包以毒害開源生態(tài)系統(tǒng)和分發(fā)各種惡意軟件進(jìn)行供應(yīng)鏈攻擊的一系列事件中的最新一起。這也是通過 PyPI 包作為分發(fā)竊取型惡意軟件的隱秘渠道的穩(wěn)定流中的最新添加。2023年5月，ESET 揭露了另一組旨在傳播以 W4SP Stealer 為特征的 Sordeal Stealer 的庫。

然后，上個月，偽裝成看似無害的混淆工具的惡意軟件包被發(fā)現(xiàn)部署了一個名為 BlazeStealer 的竊取型惡意軟件。研究人員警告說：“Python 開發(fā)人員在將代碼安裝到他們的系統(tǒng)上之前，應(yīng)徹底審查他們下載的代碼，特別是檢查這些技術(shù)。”

這一披露也是在發(fā)現(xiàn) npm 包的后續(xù)行動中，這些 npm 包被發(fā)現(xiàn)是針對一個未具名金融機(jī)構(gòu)的“高級對手模擬演習(xí)”的一部分。為了保護(hù)該組織的身份，模塊的名稱包含了一個加密的數(shù)據(jù)塊，已被保留。

軟件供應(yīng)鏈安全公司 Phylum 上周披露：“這個解密的有效載荷包含一個嵌入的二進(jìn)制文件，巧妙地將用戶憑據(jù)竊取到目標(biāo)公司內(nèi)部的一個 Microsoft Teams webhook。”

參考來源：https://thehackernews.com/2023/12/116-malware-packages-found-on-pypi.html