为什么安装 PyPI 包时要小心？

Fortinet FortiGuard 实验室 团队 在Python包索引 ( PyPI ) 存储库中发现了恶意包，这些包将 WhiteSnake Stealer 传送到 Windows 系统。

包含恶意软件的软件包名为 nigpal、figflix、telerer、seGMM、fbdebug、sGMM、myGens、NewGends 和 TestLibs111。它们是由名为“WS”的攻击者上传的。软件包在其 setup.py 文件中包含 PE（可移植可执行文件）或其他 Python 脚本的 Base64 编码源代码。当软件包安装到用户计算机上时，此代码将被激活。

在Windows系统上，WhiteSnake Stealer病毒会窃取信息，在Linux系统上，它会启动Python脚本来收集数据。该攻击主要针对 Windows 用户，并与JFrog和Checkmarx先前 报道的活动有关 。

Windows特定的有效负载已被确定为WhiteSnake恶意软件的变种，该恶意软件具有反虚拟机机制，通过Tor协议与命令和控制（ C2）服务器通信，并且还能够窃取受害者的信息并执行命令。

WhiteSnake Stealer 还从 Web 浏览器、加密货币钱包和 WinSCP、CoreFTP、Windscribe、Filezilla、AzireVPN、Snowflake、Steam、Discord、Signal 和 Telegram 等应用程序收集数据。

Checkmarx 将此次活动归因 于别名为 PYTA31 的威胁行为者，称攻击者的最终目标是从目标计算机中窃取敏感数据。

一些恶意软件包包含剪切功能，允许将剪贴板的内容替换为攻击者的钱包地址，以进行未经授权的交易。其他软件包旨在从浏览器、应用程序和加密服务中窃取数据。

Fortinet 强调，这一发现证明了单个恶意软件作者有能力分发多个包来窃取 PyPI 库中的信息，每个包都有自己独特的特征。