最近，一種新形式的釣魚軟件專門攻擊 Python 開發人員。攻擊者通過偽造的 Python 包并使用常規的偽裝技術，通過 W4SP Stealer 來感染開發人員的系統。W4SP Stealer 是一種用來竊取加密貨幣信息、泄露敏感數據并從開發人員系統收集憑據的木馬工具。

根據軟件供應鏈公司 Phylum 本周發布的一份報告中說：一名攻擊者在 Python 包索引 (PyPI) 上創建了 29 個流行軟件包的克隆，給它們包裝成合法的軟件包名稱，這種做法被稱為仿冒域名。如果開發人員下載并加載了惡意程序包，安裝腳本則會通過一些混淆步驟來誤導安裝 W4SP Stealer 木馬。目前，這些軟件包的下載量已高達 5,700 次。

Phylum 的聯合創始人兼首席技術官 Louis Lang 表示，雖然 W4SP Stealer 的作用是針對加密貨幣錢包和金融賬戶，但當前攻擊者最重要目的很有可能是開發者的隱私。

這與我們過去經常遇到的電子郵件網絡釣魚活動的形式一樣，只是這次攻擊者只針對開發人員。“考慮到開發人員經常可以訪問最核心的地方，一旦被成功的攻擊那么會對組織造成毀滅性的打擊。

該組織對 PyPI 的攻擊是針對軟件供應鏈的最新威脅。通過存儲庫服務分發的開源軟件組件，例如 PyPI 和節點包管理器 (npm)，是一種流行的攻擊媒介，因為導入軟件的需求數量急劇增加。攻擊者試圖利用生態系統將惡意軟件傳輸到粗心的開發人員系統中，例如2020 年對 Ruby Gems 生態系統的攻擊和對Docker Hub 映像生態系統的攻擊。而在 8 月，Check Point Software Technologies 的安全研究人員發現了 10 個 PyPI 軟件包，它們都為竊取信息的惡意軟件。

Phylum 研究人員 在他們的分析中表示：在這次最新的攻擊活動中，這些軟件包是一種更復雜的嘗試，將 W4SP Stealer 傳遞到 Python 開發人員的機器上。并補充說：“由于這是一個持續的攻擊，攻擊者通過不斷的改變策略，導致我們很難發現。同時，我們懷疑在不久的將來會出現更多類似的惡意軟件。

PyPI 攻擊是一種“量化游戲”

這種攻擊通過偽裝通用軟件包名稱或使用新軟件包來迷惑沒有充分審查軟件來源的開發人員。例如：一個名為“typesutil”的惡意程序包只是流行的 Python 程序包“datetime2”的副本，并進行了一些修改。

最初，任何導入惡意軟件的程序都會在 Python 加載依賴項的設置階段運行命令并下載惡意軟件。后來，由于 PyPI 實施了某些檢查，攻擊者開始使用大量空格將可疑命令推送到大多數代碼編輯器的正常可視范圍之外。

Phylum 在其分析中說：攻擊者稍微改變了策略，不是僅僅將導入文件放在一個明顯的位置，而是將它放在屏幕外，利用 Python 很少使用的分號將惡意代碼偷偷放到與其他合法代碼的行中。

Phylum 的 Lang 表示，雖然域名仿冒是一種低保真攻擊，成功率極低，但與潛在的回報相比，這種成本微乎其微。

這是一場量的游戲，攻擊者每天都用大量的惡意軟件包污染軟件包生態系統。然而相對于回報率來說，成本卻極低。

令人痛心的 W4SP

攻擊的最終目標是安裝“信息竊取木馬 W4SP Stealer”，它入侵受害者的系統，竊取瀏覽器存儲的密碼，針對加密貨幣錢包，并使用關鍵字搜索感興趣的文件，例如‘銀行’和‘秘密’ 。

Lang說：除了竊取加密貨幣或銀行信息帶來的明顯金錢回報外，攻擊者還可以利用竊取的一些信息通過訪問關鍵基礎設施或借用開發人員的身份來進一步攻擊。

目前，Phylum 在識別攻擊者方面取得了一些進展，并向正在使用其基礎設施的公司發送了報告。