恶意PyPi软件包累积了超过10K次下载

据报道，自5月以来，超过10,000个Windows和Linux系统受到了116个恶意Python软件包库中的定制恶意软件的影响。

ESET的一份报告显示，通过在Python包中注入test.py脚本、在setup.py文件中插入PowerShell代码，以及将其集成到_init_.py文件中，恶意代码被用于传播具有数据窃取、远程命令执行和截图捕获能力的恶意软件。

研究人员表示：“在某些情况下，最终的有效载荷是臭名昭著的W4SP Stealer的版本，或者是一个简单的剪贴板监控程序，用于窃取加密货币，或者两者兼而有之。”他们敦促Python开发者对他们即将下载到系统中的代码保持警惕。

这些发现是在一家金融机构被恶意NPM包攻击后得出的。

Phylum表示：“这个解密的有效载荷包含一个嵌入的二进制文件，巧妙地将用户凭据泄露给目标公司内部的一个Microsoft Teams webhook。”

这一事件突显了网络安全在现代软件开发中的重要性。随着越来越多的企业和开发者依赖开源软件包，恶意代码的植入和传播成为了一个严重的威胁。这种类型的攻击不仅损害了受影响的系统，还可能对整个网络生态系统造成连锁反应。

这一事件也提醒了开发社区对于依赖管理和安全审查的重要性。企业和个人开发者都需要更加关注他们所使用的软件包的安全性，以防止类似的安全漏洞和攻击。同时，这也加强了对开源软件社区进行更严格安全措施和监控的呼声。随着技术的发展，加强软件安全和防范网络攻击将成为软件开发和维护的一个重要方面。