研究发现十个窃取开发者数据的恶意 PyPI 包

Check Point 研究人员在 Python 包索引 (PyPI) 上发现了十个恶意包。研究意这些软件包安装了信息窃取程序，发现允许攻击者窃取开发人员的个窃私人数据和个人凭据 。研究人员提供了有关恶意软件包的取开详细信息：

Ascii2text 在名称和描述上模仿了流行的 art 软件包。可以在没有发布部分的数据情况下复制整个项目描述，从而防止用户意识到这是研究意一个假包 。恶意部分在包 init.py 文件中
 ，发现由setup.py安装脚本导入。个窃init.py 文件中的取开代码负责下载和执行恶意脚本，该脚本搜索本地密码并使用 discordweb hook 上传 。数据

Pyg-utils、云计算研究意Pymocks 和 PyProto2 ，发现允许攻击者窃取用户的个窃 AWS 凭证  。Pyg-utils 连接到同一恶意域 (pygrata.com)，取开Pymocks 和 PyProto2 有几乎相同的数据代码针对不同的域 ——pymocks.com 。

Test-async 在其描述中被描述为 “非常酷的测试包，非常有用 ，每个人都 100% 需要”。在其 setup.py 安装脚本中
，它从 Web 下载并执行可能是恶意的代码
。在下载该代码段之前 ，香港云服务器它会通知 Discord channel “new run” 已开始。

 

Free-net-vpn 和 Free-net-vpn2是针对环境变量的恶意软件包。在它的 setup.py 安装脚本上有一个干净的、有记录的代码来获取用户的凭据。然后将这些机密发布到一个由动态 DNS 映射服务映射的网站上。

Zlibsrc模仿 zlib 项目 ，包含一个从外部源下载和运行恶意文件的脚本。

Browserdiv 是源码库一个恶意程序包，其目的是通过收集安装程序凭据并将其发送到预定义的 discord webhook 来窃取安装程序凭据
。虽然根据它的命名
，它似乎是针对网页设计相关的程序（bowser，div） 
，但根据其描述，该软件包的动机是为了在 discord 内使用 selfbots。

WINRPCexploit虽然根据其描述，高防服务器它是一个 "利用 windows RPC 漏洞的软件包" ，但其实是一个凭据窃取程序包。在执行时，该包会将服务器的环境变量（通常包含凭据）上传到攻击者控制的远程站点。

尽管 CheckPoint 报告了发现的软件包并从 PyPI 中删除，但在其系统中下载这些软件包的软件开发者仍然可能面临风险 。

Bleepingcomputer 指出
，在许多情况下，恶意程序包为可能的源码下载供应链攻击奠定了基础，因此开发人员的计算机可能只是广泛感染的起始点，并且应该对代码进行恶意代码审计。重要的是要记住，PyPI 中的任何包都没有安全保证 ，用户有责任仔细检查名称、发布历史、提交详细信息 、主页链接和下载数量
。所有这些元素共同有助于确定 Python 包是亿华云否值得信赖或是否具有潜在恶意 。​