開發人員注意！450 多個 PyPI 軟件包中發現了 Clipper 惡意軟件

惡意行為者在官方 Python 包索引 (PyPI) 存儲庫中發布了超過 451 個獨特的 Python 包，試圖用clipper 惡意軟件感染開發人員系統。

發現這些圖書館的軟件供應鏈安全公司 Phylum表示，正在進行的活動是對最初于 2022 年 11 月披露的一項活動的后續行動。

初始向量需要使用域名仿冒來模仿流行的軟件包，例如 beautifulsoup、bitcoinlib、cryptofeed、matplotlib、pandas、pytorch、scikit-learn、scrapy、selenium、solana 和 tensorflow 等。

Phylum在去年發布的一份報告中說：“安裝后，惡意 JavaScript 文件會被投放到系統中，并在任何網絡瀏覽會話的后臺執行。” “當開發人員復制加密貨幣地址時，該地址會在剪貼板中替換為攻擊者的地址。”

這是通過在 Windows AppData 文件夾中創建一個 Chromium 網絡瀏覽器擴展并向其寫入 Javascript 和一個請求用戶訪問和修改剪貼板權限的manifest.json 文件來實現的。

目標網絡瀏覽器包括 Google Chrome、Microsoft Edge、Brave 和 Opera，惡意軟件會修改瀏覽器快捷方式，以便在啟動時使用“--load-extension”命令行開關自動加載加載項。

最新的一組 Python 包展示了一種類似（如果不相同）的作案手法，并且旨在充當基于剪貼板的加密錢包來替代惡意軟件。改變的是用于隱藏 JavaScript 代碼的混淆技術。

攻擊的最終目標是劫持受感染的開發人員發起的加密貨幣交易，并將它們重新路由到攻擊者控制的錢包而不是預期的接收者。

“這個攻擊者通過自動化顯著增加了他們在 pypi 中的足跡，”Phylum 指出。“像這樣的軟件包將繼續充斥生態系統。”

這一發現與 Sonatype 的一份報告相吻合，該報告僅在 2023 年 1 月就在 npm 注冊表中發現了 691 個惡意包，在 PyPI 中發現了 49 個惡意包。

這一發展再次說明了開發人員面臨來自供應鏈攻擊的日益增長的威脅，對手依靠域名仿冒等方法誘騙用戶下載欺詐包。