PyPI 存储库中发现 116 个恶意软件包

网络安全研究人员在 Python 包索引 (PyPI) 存储库中发现了一组 116 个恶意包，这些包旨在通过自定义后门感染 Windows 和 Linux 系统。

“在某些情况下，最终的有效负载是臭名昭著的W4SP Stealer的变体，或者是用于窃取加密货币的简单剪贴板监视器，或两者兼而有之，” ESET 研究人员 Marc-Etienne M.Léveillé 和 Rene Holt 在本周早些时候发布的一份报告中表示。

软件包自 2023 年 5 月以来估计已被下载超过 10,000 次。

已观察到该活动背后的威胁参与者使用三种技术将恶意代码捆绑到 Python 包中，即通过 test.py 脚本、在 setup.py 文件中嵌入 PowerShell 以及以混淆形式将其合并到 /span>.__init__.py 文件

无论使用何种方法，该活动的最终目标都是通过恶意软件（主要是能够远程执行命令、数据泄露和截取屏幕截图的后门）危害目标主机。后门模块在 Windows 中使用 Python 实现，在 Linux 中使用 Go 实现。

此外，攻击链还最终导致部署 W4SP Stealer 或 clipper 恶意软件，旨在密切关注受害者' ;的剪贴板活动，并将原始钱包地址（如果存在）与攻击者控制的地址交换。

该开发是攻击者发布的一系列受损 Python 软件包中的最新一个，这些软件包旨在毒害开源生态系统并分发混合恶意软件以进行供应链攻击。

它也是源源不断的伪造 PyPI 软件包的最新成员，这些软件包充当了传播窃取恶意软件的秘密渠道。 2023 年 5 月，ESET 披露了另一个旨在传播 Sodeal Stealer 的库集群，该库借用了 W4SP Stealer 的功能。

然后，上个月，我们发现伪装成看似无害的混淆工具的恶意软件包会部署代号为 BlazeStealer 的窃取恶意软件。