CheckPoint研究人员在 PyPI 存储库中发现了 10 个恶意 Python 包，内置窃密后门的恶意软件企图感染开发人员的系统。

恶意包使用域名仿冒来冒充流行的软件项目并诱使 PyPI 用户下载它们。

PyPI（Python 包索引）是一个包含超过 350,000 个开源软件包的存储库，数百万注册用户可以轻松地将其整合到他们的 Python 项目中。

恶意软件运营商利用平台的开放性， 经常上传恶意包来破坏开发人员的系统。

Ascii2text

模仿“art”，一种流行的 Python ASCII 艺术库，Ascii2text 使用相同的描述减去发布细节。它的代码会获取一个恶意脚本，该脚本会搜索本地密码并通过 Discord Webhook 将其泄露。

Pyg-utils、Pymocks、PyProto2

这三个包都以 AWS 账号密码为目标，并且看起来与Sonatype在 6 月发现的另一组包非常相似。第一个甚至连接到同一个域（“pygrata.com”），而另外两个目标是“pymocks.com”。

Test-async

带有模糊描述的软件包，它从远程资源中获取恶意代码，并通知 Discord 频道已经建立了新的感染。

Free-net-vpn 和 Free-net-vpn2

发布到由动态 DNS 映射站点的用户账号密码收集器。

Zlibsrc

模仿 zlib 项目，这个包包含一个从外部源下载和运行恶意文件的脚本。

Browserdiv

针对网页设计程序员证书的软件包。使用 Discord webhook 进行数据泄露。

WINRPCexploit

一个账号密码窃取程序包，承诺自动利用 Windows RPC 漏洞。但是，在执行时，该包会将服务器的环境变量（通常包含凭据）上传到攻击者控制的远程站点。

下载上述恶意包的软件开发人员可能面临风险，恶意程序包为可能的供应链攻击奠定了基础，因此开发人员的计算机可能只是广泛感染的起点。

PyPI 中的任何包都没有安全保证，用户有责任仔细检查名称、发布历史、提交详细信息、主页链接等等信息。

参考链接：www.bleepingcomputer.com