近日，有网络安全研究人员警告称，在Python 软件包索引（PyPI）库中发现了一个新的恶意 Python 软件包，该软件包为黑客盗取加密货币提供了便利。

该恶意软件包名为 pytoileur，截至发稿前已被下载 316 次。有趣的是，在前一版本（1.0.1）于 2024 年 5 月 28 日被 PyPI 维护者删除后，该软件包的作者（名为 PhilipsPY）上传了一个新版本（1.0.2），并且功能完全相同。

根据 Sonatype 发布的分析报告显示，恶意代码被嵌入到了软件包的 setup.py 脚本中，使其能够执行 Base64 编码的有效载荷，该有效载荷负责从外部服务器检索 Windows 二进制文件。

安全研究员 Sharma 表示：检索到的二进制文件'Runtime.exe'会利用 Windows PowerShell 和 VBScript 命令在系统上运行。

一旦安装，二进制文件就会建立持久性并投放额外的有效载荷，包括间谍软件和能够从网络浏览器和加密货币服务中收集数据的窃取恶意软件。

Sonatype 表示，它还发现了一个新创建的名为「EstAYA G」的 StackOverflow 账户，该账户在问答平台上回复用户的询问，并引导用户安装恶意 pytoileur 软件包，并将其作为所谓的问题解决方案。

Sharma告诉《黑客新闻》称：虽然在无法访问日志的情况下评估互联网平台上的伪匿名用户账户很难确定其归属，但这两个账户的使用年限及其发布和推广恶意 Python 软件包的目的都表明，这些账户与这次活动背后的威胁行为者有关。

Sonatype 表示：黑客公开滥用可信平台，并将其作为恶意活动的「滋生地」，这对于全球开发者来说都是一个巨大的警示信号。

鉴于 StackOverflow 平台上有很多新手开发者，他们仍在学习、提问，可能会听信恶意建议，因此 StackOverflow 的漏洞尤其令人担忧。

通过对软件包元数据仔细研究发现，它与 Checkmarx 于 2023 年 11 月披露的涉及 Pystob 和 Pywool 等虚假 Python 软件包此前的活动有相似之处。

这些发现再次说明了为什么开源生态系统仍然吸引着威胁行为者的原因，这些威胁行为者往往希望通过所谓的供应链攻击，并利用 Bladeroid 等信息窃取程序和其他恶意软件入侵多个目标。

参考资料：

https://thehackernews.com/2024/05/cybercriminals-abuse-stackoverflow-to.html