PyPI 存储库中发现 116 个恶意软件包感染 Windows 和 Linux 系统

ESET 研究人员 Marc-Etienne M.Léveillé 和 Rene Holt在本周早些时候发布的一份报告： “在某些情况下，最终有效负载是臭名昭著 W4SP Stealer 的变体，或者是用于窃取加密货币的简单剪贴板监视器，或者两者兼而有之。”

自2023 年 5 月以来，这些软件包估计已被下载超过 10,000 次。

据观察，该活动背后的威胁参与者使用三种技术将恶意代码捆绑到 Python 包中，即通过 test.py 脚本、在setup.py文件中嵌入 PowerShell 以及以混淆形式将其合并到 __init__.py 文件中。

无论使用何种方法，该活动的最终目标都是通过恶意软件（主要是能够远程执行命令、数据泄露和截取屏幕截图的后门）危害目标主机。 后门模块在 Windows 中使用 Python 实现，在 Linux 中使用 Go 实现。

或者，攻击链最终还会部署 W4SP Stealer 或 Clipper 恶意软件，旨在密切监视受害者的剪贴板活动，并用攻击者控制的地址交换原始钱包地址（如果存在）。

该开发是攻击者发布的一系列受损 Python 软件包中的最新一个，这些软件包旨在毒害开源生态系统并分发混合恶意软件以进行供应链攻击。

它也是源源不断的伪造 PyPI 软件包中的最新成员，这些软件包充当了分发窃取恶意软件的秘密渠道。 2023 年 5 月，ESET 公布了 另一个旨在传播 Sordeal Stealer 的库集群，该库借用了 W4SP Stealer 的功能。