近日，有網(wǎng)絡(luò)安全研究人員警告稱，在Python 軟件包索引（PyPI）庫(kù)中發(fā)現(xiàn)了一個(gè)新的惡意 Python 軟件包，該軟件包為黑客盜取加密貨幣提供了便利。

該惡意軟件包名為 pytoileur，截至發(fā)稿前已被下載 316 次。有趣的是，在前一版本（1.0.1）于 2024 年 5 月 28 日被 PyPI 維護(hù)者刪除后，該軟件包的作者（名為 PhilipsPY）上傳了一個(gè)新版本（1.0.2），并且功能完全相同。

根據(jù) Sonatype 發(fā)布的分析報(bào)告顯示，惡意代碼被嵌入到了軟件包的 setup.py 腳本中，使其能夠執(zhí)行 Base64 編碼的有效載荷，該有效載荷負(fù)責(zé)從外部服務(wù)器檢索 Windows 二進(jìn)制文件。

安全研究員 Sharma 表示：檢索到的二進(jìn)制文件'Runtime.exe'會(huì)利用 Windows PowerShell 和 VBScript 命令在系統(tǒng)上運(yùn)行。

一旦安裝，二進(jìn)制文件就會(huì)建立持久性并投放額外的有效載荷，包括間諜軟件和能夠從網(wǎng)絡(luò)瀏覽器和加密貨幣服務(wù)中收集數(shù)據(jù)的竊取惡意軟件。

Sonatype 表示，它還發(fā)現(xiàn)了一個(gè)新創(chuàng)建的名為 “EstAYA G ”的 StackOverflow 賬戶，該賬戶在問(wèn)答平臺(tái)上回復(fù)用戶的詢問(wèn)，并引導(dǎo)用戶安裝惡意 pytoileur 軟件包，并將其作為所謂的問(wèn)題解決方案。

Sharma告訴《黑客新聞》稱：雖然在無(wú)法訪問(wèn)日志的情況下評(píng)估互聯(lián)網(wǎng)平臺(tái)上的偽匿名用戶賬戶很難確定其歸屬，但這兩個(gè)賬戶的使用年限及其發(fā)布和推廣惡意 Python 軟件包的目的都表明，這些賬戶與這次活動(dòng)背后的威脅行為者有關(guān)。

Sonatype 表示：黑客公開濫用可信平臺(tái)，并將其作為惡意活動(dòng)的“滋生地”，這對(duì)于全球開發(fā)者來(lái)說(shuō)都是一個(gè)巨大的警示信號(hào)。

鑒于 StackOverflow 平臺(tái)上有很多新手開發(fā)者，他們?nèi)栽趯W(xué)習(xí)、提問(wèn)，可能會(huì)聽(tīng)信惡意建議，因此 StackOverflow 的漏洞尤其令人擔(dān)憂。

通過(guò)對(duì)軟件包元數(shù)據(jù)仔細(xì)研究發(fā)現(xiàn)，它與 Checkmarx 于 2023 年 11 月披露的涉及 Pystob 和 Pywool 等虛假 Python 軟件包此前的活動(dòng)有相似之處。

這些發(fā)現(xiàn)再次說(shuō)明了為什么開源生態(tài)系統(tǒng)仍然吸引著威脅行為者的原因，這些威脅行為者往往希望通過(guò)所謂的供應(yīng)鏈攻擊，并利用 Bladeroid 等信息竊取程序和其他惡意軟件入侵多個(gè)目標(biāo)。