行业新闻与博客

新的 PyPI 恶意软件 “Pytoileur” 窃取加密货币并逃避检测

网络安全研究人员发现了 Python 软件包索引(PyPI)上的恶意软件包“pytoileur”。 

该软件包伪装成“用 Python 编写的 API 管理工具”,隐藏了下载和安装木马 Windows 二进制文件的代码。 

这些二进制文件能够进行监视、实现持久性并窃取加密货币。该软件包被 Sonatype 的自动恶意软件检测系统发现,并在被标记后迅速被删除。

pytoileur 软件包在被移除前已被下载 264 次,它使用了欺骗性技术来避免被检测到。它的元数据将其描述为“酷炫软件包”,使用一种策略,即给软件包贴上吸引人的模糊描述标签,以诱使开发人员下载它们。

Sonatype 今天发布的一份咨询报告中描述了进一步的检查,发现软件包安装文件中隐藏着大量空格所掩盖的代码。该代码执行了一个 base64 编码的有效负载,该负载从外部服务器检索了恶意可执行文件。

下载的二进制文件“Runtime.exe”利用 PowerShell 和 VBScript 命令进行自我安装,确保在受感染的系统中持久存在。它采用各种反检测措施来逃避安全研究人员的分析。 

该二进制文件能够窃取信息和加密劫持,目标是存储在网络浏览器中的用户数据并访问与 Binance 和 Coinbase 等加密货币服务相关的资产。

进一步调查显示,pytoileur 是持续数月的一项更广泛的酷包活动的一部分。该活动涉及 PyPI 上的多个恶意软件包,它们都使用类似的策略来下载木马二进制文件。 

例如,“gpt-requests”和“pyefflorer”等软件包已被确定为此次攻击活动的一部分。它们采用类似的 base64 编码技术来隐藏恶意负载。


一个名为“lalalaopti”的软件包包含用于劫持剪贴板、键盘记录和远程网络摄像头访问的模块,表明攻击者具有广泛的恶意意图。 

Sonatype 写道:“本周再次出现一个相同的恶意 Python 软件包,这证明威胁行为者正在恢复和重复使用旧策略,以扩大他们的网络和目标范围。” 

“[这些] 通常涉及多个领域的开发人员(即从人工智能和机器学习爱好者到依赖 Pyston 等流行 Python 框架的开发人员)。”

需要帮助吗?联系我们的支持团队 在线客服