近日，有網絡安全研究人員警告稱，在Python 軟件包索引（PyPI）庫中發現了一個新的惡意 Python 軟件包，該軟件包為黑客盜取加密貨幣提供了便利。

該惡意軟件包名為 pytoileur，截至發稿前已被下載 316 次。有趣的是，在前一版本（1.0.1）于 2024 年 5 月 28 日被 PyPI 維護者刪除后，該軟件包的作者（名為 PhilipsPY）上傳了一個新版本（1.0.2），并且功能完全相同。

根據 Sonatype 發布的分析報告顯示，惡意代碼被嵌入到了軟件包的 setup.py 腳本中，使其能夠執行 Base64 編碼的有效載荷，該有效載荷負責從外部服務器檢索 Windows 二進制文件。

安全研究員 Sharma 表示：檢索到的二進制文件'Runtime.exe'會利用 Windows PowerShell 和 VBScript 命令在系統上運行。

一旦安裝，二進制文件就會建立持久性并投放額外的有效載荷，包括間諜軟件和能夠從網絡瀏覽器和加密貨幣服務中收集數據的竊取惡意軟件。

Sonatype 表示，它還發現了一個新創建的名為 “EstAYA G ”的 StackOverflow 賬戶，該賬戶在問答平臺上回復用戶的詢問，并引導用戶安裝惡意 pytoileur 軟件包，并將其作為所謂的問題解決方案。

Sharma告訴《黑客新聞》稱：雖然在無法訪問日志的情況下評估互聯網平臺上的偽匿名用戶賬戶很難確定其歸屬，但這兩個賬戶的使用年限及其發布和推廣惡意 Python 軟件包的目的都表明，這些賬戶與這次活動背后的威脅行為者有關。

Sonatype 表示：黑客公開濫用可信平臺，并將其作為惡意活動的“滋生地”，這對于全球開發者來說都是一個巨大的警示信號。

鑒于 StackOverflow 平臺上有很多新手開發者，他們仍在學習、提問，可能會聽信惡意建議，因此 StackOverflow 的漏洞尤其令人擔憂。

通過對軟件包元數據仔細研究發現，它與 Checkmarx 于 2023 年 11 月披露的涉及 Pystob 和 Pywool 等虛假 Python 軟件包此前的活動有相似之處。

這些發現再次說明了為什么開源生態系統仍然吸引著威脅行為者的原因，這些威脅行為者往往希望通過所謂的供應鏈攻擊，并利用 Bladeroid 等信息竊取程序和其他惡意軟件入侵多個目標。