近半年來，一個未知的威脅行為者一直在向Python包索引（PyPI）資源庫發布typosquat包，其目的是發布能夠獲得持久性、竊取敏感數據和訪問加密貨幣錢包以獲取經濟利益的惡意軟件。

Checkmarx 在一份新報告中說，這 27 個軟件包偽裝成流行的合法 Python 庫，吸引了數千次下載。大部分下載來自美國、中國、法國、德國、俄羅斯、愛爾蘭、新加坡、英國和日本。

該軟件供應鏈安全公司說：這次攻擊的一個顯著特點是利用隱寫術將惡意有效載荷隱藏在一個圖像文件中，增加了攻擊的隱蔽性。

這些軟件包包括 pyefflorer、pyminor、pyowler、pystallerer、pystob 和 pywool，其中最后一個軟件包于 2023 年 5 月 13 日被植入。

這些軟件包的一個共同點是使用 setup.py 腳本包含對其他惡意軟件包（即 pystob 和 pywool）的引用，這些軟件包部署了一個 Visual Basic 腳本（VBScript），以便下載和執行一個名為 "Runtime.exe "的文件，從而實現在主機上的持久化。

二進制文件中嵌入了一個編譯文件，能夠從網絡瀏覽器、加密貨幣錢包和其他應用程序中收集信息。

Checkmarx 觀察到的另一種攻擊鏈將可執行代碼隱藏在 PNG 圖像（"uwu.png"）中，隨后解碼并運行該圖像，以提取受影響系統的公共 IP 地址和通用唯一標識符（UUID）。

特別是 Pystob 和 Pywool，它們打著 API 管理工具的幌子發布，只是為了將數據外泄到 Discord webhook，并試圖通過將 VBS 文件放置在 Windows 啟動文件夾中來保持持久性。

Checkmarx表示：這一活動再次提醒我們，當今的數字環境中存在著無處不在的威脅，尤其是在以協作和開放代碼交換為基礎的領域。

針對軟件供應鏈的持續攻擊浪潮也促使美國政府在本月發布了新的指南，要求軟件開發商和供應商維護軟件安全并提高安全意識。

網絡安全和基礎設施安全局（CISA）、國家安全局（NSA）和國家情報局局長辦公室（ODNI）表示：鑒于近期備受關注的軟件供應鏈事件，建議采購組織在其采購決策中指定供應鏈風險評估。

軟件開發商和供應商應改進其軟件開發流程，不僅要降低對員工和股東的傷害風險，還要降低對用戶的傷害風險。

參考鏈接：https://thehackernews.com/2023/11/27-malicious-pypi-packages-with.html