恶意 PyPI 包伪装成答案，滥用StackExchange 进行传播

这些Python 恶意包为 “spl-types”、 ‘raydium’ 、‘sol-structs’ 、‘sol-instruct’ 和 ‘raydium-sdk’，它们从浏览器、消息应用（Telegram、Signal、Session）和密币钱包详情（Exodus|Electrum和Monero）中窃取敏感数据。这款信息窃取恶意软件也可通过特定的关键字提取文件并提取截屏，将所有数据发送到 Telegram 频道。

Checkmarx 公司的研究人员表示，虽然这些程序包是在6月25日上传的，但在7月3日收到了恶意组件。这些包被清除时已被下载2082次。

滥用 StackExchange

研究人员调查发现，这些攻击者专门攻击参加 Raydium 和 Solana 区块链项目的用户。Raydium 并不具有 Python 库的实际为攻击者创造了一个利用机会，他们无需通过 typosquatting 或其它欺骗技术就能使用库名称。

为了让程序包触及正确的目标，攻击者在 StackExchange 上创建了多个账户，并在包含该恶意包的热门讨论中留下评论。被选中的主体与包名称有关，而回复的质量也很高，因此受害者可能会被骗下载这些危险的程序包。

潜在感染超过2000多次，使得该攻击的影响难以估测，但研究人员在报告中提到了一些受害者案例。第一个案例涉及一名IT员工的 Solana 密币钱包因受感染而被清空。在第二个案例中，该恶意软件捕获了该受害者的私钥截屏，绕过多因素防护措施并在无需密码的情况下劫持账户。值得注意的是，该截屏显示，Windows Virus 和 Threat Protection 扫描未能捕获到在受害者设备上运行的威胁。

这种技术曾在过去使用过。Sonatype 公司曾在2024年5月报告了该案例并通过 StackOverflow 回答来推广恶意 Python 包。多数软件开发人员乐于助人，热心编写脚本或提供一些线索。然而，只有当作者是可信任时，合法平台上的脚本才可被使用。即便如此，在使用前先检查代码是确保其后续不会被修改的最佳方式。