网络安全研究人员警告称,在Python Package Index(PyPI)存储库中发现了一个新的恶意Python包,用于加密货币盗窃,属于更广泛的恶意活动的一部分。
这个恶意包名为pytoileur,截至目前已被下载316次。值得注意的是,在PyPI维护者于2024年5月28日下架了之前的版本(1.0.1)后,名为PhilipsPY的作者上传了具有相同功能的新版本(1.02)。
根据Sonatype的分析,恶意代码嵌入在包的setup.py脚本中,能够执行Base64编码的有效载荷,从外部服务器检索Windows二进制文件。安全研究员夏尔马解释说,检索到的二进制文件“Runtime.exe”通过Windows PowerShell和VBScript命令运行。
一旦安装,这个二进制文件会建立持久性并下载额外的有效载荷,包括间谍软件和能从Web浏览器和加密货币服务中窃取数据的恶意软件。
Sonatype还发现了一个新创建的Stack Overflow帐户,名为“EstAYA G”,该帐户在问答平台上回答用户问题,推荐他们安装恶意的pytoileur包作为解决方案。
夏尔马告诉黑客新闻:“虽然在没有访问日志的情况下难以明确归因,但这些新账户的创建时间和推广恶意Python包的行为表明它们可能与同一威胁行为者有关。”
这一发现表明,威胁行为者滥用了可信平台进行恶意软件传播,这对全球开发人员是一个巨大的警告信号。Sonatype在与黑客新闻分享的声明中表示:“对这样一个可信平台的公开滥用,对全球开发者来说是一个巨大的警示。”
Stack Overflow对此回应说,他们已采取措施暂停了该恶意账户。发言人表示:“Stack Overflow的Trust & Safety团队已调查此事,发现并删除了违反平台政策的内容,并采取了进一步行动。”
进一步研究软件包元数据及其作者历史表明,此活动与之前涉及Pystob和Pywool等虚假Python软件包的活动有重叠,Checkmarx于2023年11月披露了这些活动。
这些发现再次表明,开源生态系统依然是威胁行为者的目标,他们希望通过供应链攻击和信息窃取恶意软件来破坏多个目标。
