PyPi python 包存储库正受到一波信息窃取恶意软件的轰炸,这些恶意软件隐藏在上传到平台的恶意包中,以窃取软件开发人员的数据。
此次活动中投放的恶意软件是开源 W4SP Stealer 的克隆,该 恶意软件 曾于 2022 年 11 月在 PyPI上广泛感染恶意软件。
从那时起,另外 31 个带有“W4SP”的软件包已从 PyPI 存储库中删除,恶意软件的操作者继续寻找新的方法在平台上重新引入他们的恶意软件。
针对开源开发人员
上周,Phylum 研究团队报告说,它发现 了另一组 47 个软件包,这些软件包 在 PyPI 上分发 W4SP。但是,在 GitHub 终止了威胁行为者用于获取主要有效载荷的存储库后,此操作中断了。
这家网络安全公司昨天报告称,PyPI 上至少有 16 个软件包正在传播十种不同的基于 W4SP Stealer 的信息窃取恶意软件变体。
包含这些信息窃取器的恶意包是:
- 模块安全– 114 次下载
- informmodule – 110 次下载
- chazz – 118 次下载
- randomtime – 118 次下载
- proxygeneratorbil – 91 次下载
- easycordey – 122 次下载
- easycordeyy – 103 次下载
- tomproxies – 150 次下载
- sys-ej – 186 次下载
- py4sync – 453 次下载
- infosys – 191 次下载
- sysuptoer – 186 次下载
- nowsys – 202 次下载
- upamonkws – 205 次下载
- 验证码男孩– 123 次下载
- proxybooster – 69 次下载
虽然这些软件包会掉落使用不同名称的窃取程序,例如 Celestial Stealer、ANGEL stealer、Satan Stealer、@skid Stealer 和 Leaf $tealer,但 Phylum 发现它们都是基于 W4SP 代码的。
除了一个例外,“chazz”,新的窃取者不遵循 W4SP 的复杂攻击链,该攻击链具有多阶段和代码混淆的特点。
相反,他们将窃取者的代码直接放到没有编码的“main.py”或“_init_.py”文件中,因此基本的代码审查会立即揭示他们的本质。

“chazz”软件包,其中包含“Leaf $tealer”的副本,是新批次中唯一通过 BlankOBF 工具进行混淆处理的软件包,但它仍然相当容易去混淆
按照与 W4SP 行动相同的策略,新的窃取者使用 GitHub 存储库作为下载恶意软件负载的远程资源。

目前尚不清楚这些恶意软件“克隆”是否由 W4SP 或其模仿者背后的相同威胁参与者操作,但 Phylum 假设它来自试图模仿先前活动的不同团体。
本报告中出现的所有包都已从 PyPI 存储库中删除,但在下载超过 2,500 次之前并未删除。
黑客越来越多地瞄准开源软件包存储库,因为破坏开发人员的系统提供了进行更大规模攻击的机会。
由于开发人员通常在他们的应用程序中存储授权令牌和 API 密钥,窃取这些秘密可能允许威胁行为者进行更广泛的供应链攻击或窃取数据以用于勒索需求。
只要感染数量值得付出努力,我们就会继续看到威胁行为者以不同的名称和帐户将恶意包上传到开源存储库。