Check Point 研究人員在 Python 包索引 (PyPI) 上發現了十個惡意包。這些軟件包安裝了信息竊取程序，允許攻擊者竊取開發人員的私人數據和個人憑據。研究人員提供了有關惡意軟件包的詳細信息：

• Ascii2text 在名稱和描述上模仿了流行的 art 軟件包。可以在沒有發布部分的情況下復制整個項目描述，從而防止用戶意識到這是一個假包。惡意部分在包 init.py 文件中，由setup.py安裝腳本導入。init.py 文件中的代碼負責下載和執行惡意腳本，該腳本搜索本地密碼并使用 discordweb hook 上傳。

• Pyg-utils、Pymocks 和 PyProto2，允許攻擊者竊取用戶的 AWS 憑證。Pyg-utils 連接到同一惡意域 (pygrata.com)，Pymocks 和 PyProto2 有幾乎相同的代碼針對不同的域 ——pymocks.com。

• Test-async 在其描述中被描述為 “非常酷的測試包，非常有用，每個人都 100% 需要”。在其 setup.py 安裝腳本中，它從 Web 下載并執行可能是惡意的代碼。在下載該代碼段之前，它會通知 Discord channel “new run” 已開始。

• Free-net-vpn 和 Free-net-vpn2是針對環境變量的惡意軟件包。在它的 setup.py 安裝腳本上有一個干凈的、有記錄的代碼來獲取用戶的憑據。然后將這些機密發布到一個由動態 DNS 映射服務映射的網站上。

• Zlibsrc模仿 zlib 項目，包含一個從外部源下載和運行惡意文件的腳本。

• Browserdiv 是一個惡意程序包，其目的是通過收集安裝程序憑據并將其發送到預定義的 discord webhook 來竊取安裝程序憑據。雖然根據它的命名，它似乎是針對網頁設計相關的程序（bowser，div），但根據其描述，該軟件包的動機是為了在 discord 內使用 selfbots。

• WINRPCexploit雖然根據其描述，它是一個 "利用 windows RPC 漏洞的軟件包"，但其實是一個憑據竊取程序包。在執行時，該包會將服務器的環境變量（通常包含憑據）上傳到攻擊者控制的遠程站點。

盡管 CheckPoint 報告了發現的軟件包并從 PyPI 中刪除，但在其系統中下載這些軟件包的軟件開發者仍然可能面臨風險。

Bleepingcomputer 指出，在許多情況下，惡意程序包為可能的供應鏈攻擊奠定了基礎，因此開發人員的計算機可能只是廣泛感染的起始點，并且應該對代碼進行惡意代碼審計。重要的是要記住，PyPI 中的任何包都沒有安全保證，用戶有責任仔細檢查名稱、發布歷史、提交詳細信息、主頁鏈接和下載數量。所有這些元素共同有助于確定 Python 包是否值得信賴或是否具有潛在惡意。?