近半年来，一个未知的威胁行为者一直在向Python包索引（PyPI）资源库发布typosquat包，其目的是发布能够获得持久性、窃取敏感数据和访问加密货币钱包以获取经济利益的恶意软件。

Checkmarx 在一份新报告中说，这 27 个软件包伪装成流行的合法 Python 库，吸引了数千次下载。大部分下载来自美国、中国、法国、香港、德国、俄罗斯、爱尔兰、新加坡、英国和日本。

该软件供应链安全公司说：这次攻击的一个显著特点是利用隐写术将恶意有效载荷隐藏在一个图像文件中，增加了攻击的隐蔽性。

这些软件包包括 pyefflorer、pyminor、pyowler、pystallerer、pystob 和 pywool，其中最后一个软件包于 2023 年 5 月 13 日被植入。

这些软件包的一个共同点是使用 setup.py 脚本包含对其他恶意软件包（即 pystob 和 pywool）的引用，这些软件包部署了一个 Visual Basic 脚本（VBScript），以便下载和执行一个名为 "Runtime.exe "的文件，从而实现在主机上的持久化。

二进制文件中嵌入了一个编译文件，能够从网络浏览器、加密货币钱包和其他应用程序中收集信息。

Checkmarx 观察到的另一种攻击链将可执行代码隐藏在 PNG 图像（"uwu.png"）中，随后解码并运行该图像，以提取受影响系统的公共 IP 地址和通用唯一标识符（UUID）。

特别是 Pystob 和 Pywool，它们打着 API 管理工具的幌子发布，只是为了将数据外泄到 Discord webhook，并试图通过将 VBS 文件放置在 Windows 启动文件夹中来保持持久性。

Checkmarx表示：这一活动再次提醒我们，当今的数字环境中存在着无处不在的威胁，尤其是在以协作和开放代码交换为基础的领域。

针对软件供应链的持续攻击浪潮也促使美国政府在本月发布了新的指南，要求软件开发商和供应商维护软件安全并提高安全意识。

网络安全和基础设施安全局（CISA）、国家安全局（NSA）和国家情报局局长办公室（ODNI）表示：鉴于近期备受关注的软件供应链事件，建议采购组织在其采购决策中指定供应链风险评估。

软件开发商和供应商应改进其软件开发流程，不仅要降低对员工和股东的伤害风险，还要降低对用户的伤害风险。

参考链接：https://thehackernews.com/2023/11/27-malicious-pypi-packages-with.html