开发人员注意！450 多个 PyPI 软件包中发现了 Clipper 恶意软件

恶意行为者在官方 Python 包索引 (PyPI) 存储库中发布了超过 451 个独特的 Python 包，试图用clipper 恶意软件感染开发人员系统。

发现这些图书馆的软件供应链安全公司 Phylum表示，正在进行的活动是对最初于 2022 年 11 月披露的一项活动的后续行动。

初始向量需要使用域名仿冒来模仿流行的软件包，例如 beautifulsoup、bitcoinlib、cryptofeed、matplotlib、pandas、pytorch、scikit-learn、scrapy、selenium、solana 和 tensorflow 等。

Phylum在去年发布的一份报告中说：“安装后，恶意 JavaScript 文件会被投放到系统中，并在任何网络浏览会话的后台执行。” “当开发人员复制加密货币地址时，该地址会在剪贴板中替换为攻击者的地址。”

这是通过在 Windows AppData 文件夹中创建一个 Chromium 网络浏览器扩展并向其写入 Javascript 和一个请求用户访问和修改剪贴板权限的manifest.json 文件来实现的。

目标网络浏览器包括 Google Chrome、Microsoft Edge、Brave 和 Opera，恶意软件会修改浏览器快捷方式，以便在启动时使用“--load-extension”命令行开关自动加载加载项。

最新的一组 Python 包展示了一种类似（如果不相同）的作案手法，并且旨在充当基于剪贴板的加密钱包来替代恶意软件。改变的是用于隐藏 JavaScript 代码的混淆技术。

攻击的最终目标是劫持受感染的开发人员发起的加密货币交易，并将它们重新路由到攻击者控制的钱包而不是预期的接收者。

“这个攻击者通过自动化显著增加了他们在 pypi 中的足迹，”Phylum 指出。“像这样的软件包将继续充斥生态系统。”

这一发现与 Sonatype 的一份报告相吻合，该报告仅在 2023 年 1 月就在 npm 注册表中发现了 691 个恶意包，在 PyPI 中发现了 49 个恶意包。

这一发展再次说明了开发人员面临来自供应链攻击的日益增长的威胁，对手依靠域名仿冒等方法诱骗用户下载欺诈包。