行業新聞與博客

新的 PyPI 惡意軟件 “Pytoileur” 竊取加密貨幣並逃避檢測

網絡安全研究人員發現了 Python 軟件包索引(PyPI)上的惡意軟件包“pytoileur”。 

該軟件包偽裝成“用 Python 編寫的 API 管理工具”,隱藏了下載和安裝木馬 Windows 二進制文件的代碼。 

這些二進制文件能夠進行監視、實現持久性並竊取加密貨幣。該軟件包被 Sonatype 的自動惡意軟件檢測系統發現,並在被標記後迅速被刪除。

pytoileur 軟件包在被移除前已被下載 264 次,它使用了欺騙性技術來避免被檢測到。它的元數據將其描述為“酷炫軟件包”,使用一種策略,即給軟件包貼上吸引人的模糊描述標籤,以誘使開發人員下載它們。

Sonatype 今天發佈的一份諮詢報告中描述了進一步的檢查,發現軟件包安裝文件中隱藏着大量空格所掩蓋的代碼。該代碼執行了一個 base64 編碼的有效負載,該負載從外部服務器檢索了惡意可執行文件。

下載的二進制文件“Runtime.exe”利用 PowerShell 和 VBScript 命令進行自我安裝,確保在受感染的系統中持久存在。它採用各種反檢測措施來逃避安全研究人員的分析。 

該二進制文件能夠竊取信息和加密劫持,目標是存儲在網絡瀏覽器中的用户數據並訪問與 Binance 和 Coinbase 等加密貨幣服務相關的資產。

進一步調查顯示,pytoileur 是持續數月的一項更廣泛的酷包活動的一部分。該活動涉及 PyPI 上的多個惡意軟件包,它們都使用類似的策略來下載木馬二進制文件。 

例如,“gpt-requests”和“pyefflorer”等軟件包已被確定為此次攻擊活動的一部分。它們採用類似的 base64 編碼技術來隱藏惡意負載。


一個名為“lalalaopti”的軟件包包含用於劫持剪貼板、鍵盤記錄和遠程網絡攝像頭訪問的模塊,表明攻擊者具有廣泛的惡意意圖。 

Sonatype 寫道:“本週再次出現一個相同的惡意 Python 軟件包,這證明威脅行為者正在恢復和重複使用舊策略,以擴大他們的網絡和目標範圍。” 

“[這些] 通常涉及多個領域的開發人員(即從人工智能和機器學習愛好者到依賴 Pyston 等流行 Python 框架的開發人員)。”

需要幫助嗎?聯繫我們的支持團隊 在線客服