恶意PyPI 包利用Cloudflare 信道窃取开发系统信息-CSDN博客

研究人员发现PyPI仓库中有六个恶意Python程序包，这些包在安装时会部署信息窃取器，通过PowerShell脚本执行恶意代码，包括安装pynput等依赖，并利用CloudflareTunnel创建后门。攻击者能控制和监控受害者的键盘、鼠标输入及屏幕内容，还能窃取浏览器数据和执行远程命令。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

研究人员发现，PyPI仓库又遭攻击，六个恶意程序包在开发系统上部署信息窃取器。

目前已删除的这些程序包是Phylum 在2022年12月22日至12月31日期间发现的，它们包括pyrologin、easytimestamp、discorder、disord-dev、style.py和pythonstyles。

像现在的很多案例一样，恶意代码隐藏在这些库的设置脚本 (set.py) 中，即通过运行 “pip install”命令就足以激活恶意软件部署进程。该恶意软件旨在启动PowerShell 脚本以检索ZIP归档文件、安装入侵性依赖关系如pynput、pydirectinput 和pyscreenshot，并运行提取自该文档的Visual Basic Script 来执行更多的 PowerShell 代码。

Phylum 在技术报告中指出，“这些库可导致任何人控制并监控鼠标和键盘输入以及捕获屏幕内容。”

这些恶意包能够从Google Chrome、Mozilla Firefox、Microsoft Edge、Brave、Opera、Opera GX和Vivaldi浏览器中捕获cookie、保存的密码和密币钱包数据。但从该威胁行动者采用的新技术来看，该攻击还试图进一步下载并安装Cloudflare Tunnel的命令行工具 cloudflared。CloudFlare Tunnel 为用户“提供将资源连接至Cloudflare的安全方式，而无需任何公开可路由的IP地址”。简言之，攻击者利用该信道通过基于Flask的app远程访问受陷机器，而该app中隐藏着木马xrat（Phylum将其称为 “poweRAT”）。

该恶意软件可使威胁行动者运行shell命令、下载远程文件并在主机上执行、提取文件和整个目录，甚至运行任意python代码。该Flask 应用程序还支持“实时”特性，使用JavaScript监听鼠标和键盘点击事件并捕获系统截屏，以便抓取受害者输入的任何敏感信息。Phylum 指出，该木马具有所有的构建于web GUI中的基础RAT能力，具有基本的远程桌面能力和窃取工具进行启动。

这一事件再次说明攻击者正在持续改进其攻击开源程序包仓库和发动供应链攻击的技术。上个月晚些时候，Phylum 还披露了多个欺诈性npm模块，它们从所安装的系统中窃取环境变量。

代码卫士试用地址：https://codesafe.qianxin.com

开源卫士试用地址：https://oss.qianxin.com

推荐阅读

在线阅读版：《2022中国软件供应链安全分析报告》全文

在线阅读版：《2021中国软件供应链安全分析报告》全文

PyTorch 披露恶意依赖链攻陷事件

速修复！这个严重的 Apache Struts RCE 漏洞补丁不完整

Apache Cassandra 开源数据库软件修复高危RCE漏洞

美国国土安全部：Log4j 漏洞的影响将持续十年或更久

Apache Log4j任意代码执行漏洞安全风险通告第三次更新

PHP包管理器Composer组件 Packagist中存在漏洞，可导致软件供应链攻击