PyPI 发现 12 个可以打开后门并窃取比特币的恶意库

据 freebuf 报道，软件安全研究人员近期在 PyPI 上发现了 12 个恶意库，其中包含可能导致安全风险的恶意代码，例如打开后门和窃取比特币。

据报道，安全研究员 Bertus 在对 PyPI 进行安全扫描时发现了这些问题。 他两次发现了12个有问题的软件包，官方已经全部删除。

所有 12 个包都是通过复制流行包的代码来创建新的库，并采用相似的名称。 例如diango、djago、dajngo和djanga包都是模仿Django的。 之后主要是在安装文件setup.py中添加恶意代码。 setup.py 文件包含一组在 Python 项目中下载和设置新包时由 Python 库安装程序（例如“pip”）自动执行的指令。

这些有问题的库添加了额外的指令来执行各种恶意操作，并且每个库的内容都不同。 他们会尝试收集被感染机器的环境数据并将其添加到自动启动中，同时开启一个反向shell后门。 一旦启动，恶意攻击者就可以远程登录机器并获得全部权限。

Bertus两次发现以下12个恶意包：

此外，安全研究人员还指出了另一个恶意库colourama，它劫持了受感染用户的操作系统剪贴板比特币盗取要判刑吗，每500毫秒扫描一次类似于比特币地址的字符串，并替换为攻击者自己的位。 比特币地址，这样当受感染的用户进行比特币支付/转账操作时，比特币就会进入攻击者的账户。

以上是在setup.py中插入的恶意行，请求地址并修改地址内容（base64加密）：

最终还原的攻击载荷（Vbscript代码）：

上面的代码显示在注册表CurrentVersion\Run启动项目中添加了一个自启动项目，并添加了服务BTCS监控粘贴板，并修改了其中复制的类似于比特币地址的字符串。

但据 PyPI 统计，由于及时发现和删除，只有 54 位用户下载了该软件包比特币盗取要判刑吗，只有 40 美元记入了攻击者的比特币账户。