网络犯罪分子利用 StackOverflow 推广恶意 Python 软件包

文章预览

近日，有网络安全研究人员警告称，在Python 软件包索引（PyPI）库中发现了一个新的恶意 Python 软件包，该软件包为黑客盗取加密货币提供了便利。 该恶意软件包名为 pytoileur，截至发稿前已被下载 316 次。有趣的是，在前一版本（1.0.1）于 2024 年 5 月 28 日被 PyPI 维护者删除后，该软件包的作者（名为 PhilipsPY）上传了一个新版本（1.0.2），并且功能完全相同。 根据 Sonatype 发布的分析报告显示，恶意代码被嵌入到了软件包的 setup.py 脚本中，使其能够执行 Base64 编码的有效载荷，该有效载荷负责从外部服务器检索 Windows 二进制文件。 安全研究员 Sharma 表示：检索到的二进制文件'Runtime.exe'会利用 Windows PowerShell 和 VBScript 命令在系统上运行。 一旦安装，二进制文件就会建立持久性并投放额外的有效载荷，包括间谍软件和能够从网络浏览器和加密货币服务中 ………………………………