行业新闻与博客

网络安全研究人员发现了 Python 软件包索引（PyPI）上的恶意软件包“pytoileur”。 

该软件包伪装成“用 Python 编写的 API 管理工具”，隐藏了下载和安装木马 Windows 二进制文件的代码。 

这些二进制文件能够进行监视、实现持久性并窃取加密货币。该软件包被 Sonatype 的自动恶意软件检测系统发现，并在被标记后迅速被删除。

pytoileur 软件包在被移除前已被下载 264 次，它使用了欺骗性技术来避免被检测到。它的元数据将其描述为“酷炫软件包”，使用一种策略，即给软件包贴上吸引人的模糊描述标签，以诱使开发人员下载它们。

Sonatype 今天发布的一份咨询报告中描述了进一步的检查，发现软件包安装文件中隐藏着大量空格所掩盖的代码。该代码执行了一个 base64 编码的有效负载，该负载从外部服务器检索了恶意可执行文件。

下载的二进制文件“Runtime.exe”利用 PowerShell 和 VBScript 命令进行自我安装，确保在受感染的系统中持久存在。它采用各种反检测措施来逃避安全研究人员的分析。 

该二进制文件能够窃取信息和加密劫持，目标是存储在网络浏览器中的用户数据并访问与 Binance 和 Coinbase 等加密货币服务相关的资产。

进一步调查显示，pytoileur 是持续数月的一项更广泛的酷包活动的一部分。该活动涉及 PyPI 上的多个恶意软件包，它们都使用类似的策略来下载木马二进制文件。 

例如，“gpt-requests”和“pyefflorer”等软件包已被确定为此次攻击活动的一部分。它们采用类似的 base64 编码技术来隐藏恶意负载。

一个名为“lalalaopti”的软件包包含用于劫持剪贴板、键盘记录和远程网络摄像头访问的模块，表明攻击者具有广泛的恶意意图。 

Sonatype 写道：“本周再次出现一个相同的恶意 Python 软件包，这证明威胁行为者正在恢复和重复使用旧策略，以扩大他们的网络和目标范围。” 

“[这些] 通常涉及多个领域的开发人员（即从人工智能和机器学习爱好者到依赖 Pyston 等流行 Python 框架的开发人员）。”