2022年12月9日,研究人员在PyPI中又发现了一次供应链攻击。2022年12月6日发布了一个名为aioconsol的Python包,同一天发布了三个版本。类似于之前公开的名为shaderz的Python包,没有相关的描述信息。项目描述版本发行版此Python程序包的2.0版在setup.py脚本中包含恶意代码,该脚本将二进制内容写入名为test.exe的文件作为安装过程的一部分。2.0版本的setup.py在0.0版本和1.0版本中,__init__.py脚本也有类似的恶意代码,如下图:Maliouscodeofversion1.0Maliouscodeofversion0.0Maliciouscodeofversion0.0VirusTotal的一些引擎将这个EXE可执行文件标记为恶意:VirusTotal检测信息的具体行为执行EXE可执行文件,创建子进程stub.exe。Theprocessrunningprogramreleasemultiplefilesat%USER%\AppData\Local\Temp\onefile_%PID_%TIME%:被释放的可执行文件stub.exe被几个引擎检测到:执行test.exe后的VirusTotal检测信息,将复制本身到%USER%\AppData\Local\WindowsControl一个名为Control.exe的批处理文件并释放run.bat。创建文件run.bat脚本显示文件Control.exe的路径,确保在启动时运行它。run.bat尝试连接多个IP地址泄露敏感数据:104.20.67.143网络连接、104.20.68.143网络连接、172.67.34.170网络连接、185.106.92.188网络连接。结论研究人员在不到一周的时间里已经看到两次针对Python的供应链攻击,可见这种攻击方式的流行程度。用户还需要高度警惕从未知来源安装的Python包,这些包很可能包含恶意软件。
