網絡安全研究人員在 Python 包索引（PyPI）倉庫中識別出116個惡意軟件包，旨在通過定制后門程序感染 Windows 和 Linux 系統。

ESET 的研究人員 Marc-Etienne M.Léveillé 和 Rene Holt 在本周早些時候發布的一份報告中表示：“在某些情況下，最終的有效載荷是臭名昭著的 W4SP Stealer 的變體，和一個簡單的剪貼板監控器用于竊取加密貨幣，或者兩者兼而有之。”

這些軟件包自2023年5月就已經存在，目前初步估計已被下載超過1萬次。

該活動背后的惡意行為者已經被發現，至少使用了三種技術將惡意代碼打包進 Python 包，即通過 test.py 腳本、在 setup.py 文件中嵌入 PowerShell，以及在 __init__.py 文件中以加密形式嵌入。

不管使用哪種方法，這次活動的最終目的都是通過惡意軟件感染目標主機，主要是一個能夠遠程執行命令、數據竊取和截屏的后門。后門模塊在 Windows 上用 Python 實現，在 Linux 上則用 Go 實現。

此外，攻擊鏈還會導致 W4SP Stealer 或剪貼板監控惡意軟件的部署，這些惡意軟件旨在密切關注受害者的剪貼板活動，并在存在的情況下，將原始錢包地址替換為攻擊者控制的地址。

這一發展是攻擊者發布受損 Python 包以毒害開源生態系統和分發各種惡意軟件進行供應鏈攻擊的一系列事件中的最新一起。這也是通過 PyPI 包作為分發竊取型惡意軟件的隱秘渠道的穩定流中的最新添加。2023年5月，ESET 揭露了另一組旨在傳播以 W4SP Stealer 為特征的 Sordeal Stealer 的庫。

然后，上個月，偽裝成看似無害的混淆工具的惡意軟件包被發現部署了一個名為 BlazeStealer 的竊取型惡意軟件。研究人員警告說：“Python 開發人員在將代碼安裝到他們的系統上之前，應徹底審查他們下載的代碼，特別是檢查這些技術。”

這一披露也是在發現 npm 包的后續行動中，這些 npm 包被發現是針對一個未具名金融機構的“高級對手模擬演習”的一部分。為了保護該組織的身份，模塊的名稱包含了一個加密的數據塊，已被保留。

軟件供應鏈安全公司 Phylum 上周披露：“這個解密的有效載荷包含一個嵌入的二進制文件，巧妙地將用戶憑據竊取到目標公司內部的一個 Microsoft Teams webhook。”

參考來源：https://thehackernews.com/2023/12/116-malware-packages-found-on-pypi.html