在另一个针对Python 包索引(PyPI)存储库的活动中,发现了六个恶意包在开发人员系统上部署信息窃取程序。
Phylum 在2022年12月22日至12月31日期间发现的现已删除的软件包包括 pyrologin、easytimestamp、discorder、discord-dev、style.py 和 pythonstyles。越来越多的恶意代码隐藏在这些库的安装脚本 (setup.py) 中,这意味着运行“pip install”命令足以激活恶意软件部署过程。
该恶意软件旨在启动检索 ZIP 存档文件的 PowerShell 脚本,安装 pynput、pydirectinput 和 pyscreenshot 等侵入性依赖项,并运行从存档中提取的 Visual Basic 脚本以执行更多 PowerShell 代码。