行業新聞與部落格

新的 PyPI 惡意軟體 “Pytoileur” 竊取加密貨幣並逃避檢測

網路安全研究人員發現了 Python 軟體包索引(PyPI)上的惡意軟體包“pytoileur”。 

該軟體包偽裝成“用 Python 編寫的 API 管理工具”,隱藏了下載和安裝木馬 Windows 二進位制檔案的程式碼。 

這些二進位制檔案能夠進行監視、實現永續性並竊取加密貨幣。該軟體包被 Sonatype 的自動惡意軟體檢測系統發現,並在被標記後迅速被刪除。

pytoileur 軟體包在被移除前已被下載 264 次,它使用了欺騙性技術來避免被檢測到。它的元資料將其描述為“酷炫軟體包”,使用一種策略,即給軟體包貼上吸引人的模糊描述標籤,以誘使開發人員下載它們。

Sonatype 今天釋出的一份諮詢報告中描述了進一步的檢查,發現軟體包安裝檔案中隱藏著大量空格所掩蓋的程式碼。該程式碼執行了一個 base64 編碼的有效負載,該負載從外部伺服器檢索了惡意可執行檔案。

下載的二進位制檔案“Runtime.exe”利用 PowerShell 和 VBScript 命令進行自我安裝,確保在受感染的系統中持久存在。它採用各種反檢測措施來逃避安全研究人員的分析。 

該二進位制檔案能夠竊取資訊和加密劫持,目標是儲存在網路瀏覽器中的使用者資料並訪問與 Binance 和 Coinbase 等加密貨幣服務相關的資產。

進一步調查顯示,pytoileur 是持續數月的一項更廣泛的酷包活動的一部分。該活動涉及 PyPI 上的多個惡意軟體包,它們都使用類似的策略來下載木馬二進位制檔案。 

例如,“gpt-requests”和“pyefflorer”等軟體包已被確定為此次攻擊活動的一部分。它們採用類似的 base64 編碼技術來隱藏惡意負載。


一個名為“lalalaopti”的軟體包包含用於劫持剪貼簿、鍵盤記錄和遠端網路攝像頭訪問的模組,表明攻擊者具有廣泛的惡意意圖。 

Sonatype 寫道:“本週再次出現一個相同的惡意 Python 軟體包,這證明威脅行為者正在恢復和重複使用舊策略,以擴大他們的網路和目標範圍。” 

“[這些] 通常涉及多個領域的開發人員(即從人工智慧和機器學習愛好者到依賴 Pyston 等流行 Python 框架的開發人員)。”

需要幫助嗎?聯絡我們的支援團隊 線上客服