另一个迹象表明，威胁行为者一直在寻找新的方法来诱骗用户下载恶意软件，已经发现，被称为Stack Exchange的问答（Q&A）平台已被滥用，以将毫无戒心的开发人员引导到能够耗尽其加密货币钱包的虚假Python包。

“安装后，此代码将自动执行，启动一系列事件，旨在破坏和控制受害者的系统，同时也会泄露他们的数据并耗尽他们的加密钱包，”Checkmarx研究人员Yehuda Gelb和Tzachi Zornstain在与The Hacker News分享的一份报告中说。

该活动于 2024 年 6 月 25 日开始，专门针对与 Raydium 和 Solana 有关的加密货币用户。下面列出了作为活动的一部分发现的流氓包列表 –

• raydium （762 下载）
• raydium-sdk （137 下载）
• sol-instruct （115 下载）
• sol-structs （292 下载）
• SPL 类型 （776 下载）

这些软件包已被集体下载了 2,082 次。它们不再可从 Python 包索引 （PyPI） 存储库下载。

隐藏在包裹中的恶意软件提供了一个全面的信息窃取程序，投下了一个广泛的数据网络，包括网络浏览器密码、cookie 和信用卡详细信息、加密货币钱包以及与 Telegram、Signal 和 Session 等消息传递应用程序相关的信息。

它还具有捕获系统屏幕截图的功能，并搜索包含 GitHub 恢复代码和 BitLocker 密钥的文件。然后，收集到的信息被压缩并泄露到威胁行为者维护的两个不同的 Telegram 机器人中。

另外，恶意软件中存在的后门组件使攻击者能够持续远程访问受害者的计算机，从而使未来可能的攻击和长期妥协成为可能。

攻击链跨越多个阶段，“raydium”包将“spl-types”列为依赖项，试图隐藏恶意行为并给用户留下它是合法的印象。

该活动的一个值得注意的方面是使用 Stack Exchange 作为推动采用的载体，通过发布表面上有用的答案，引用相关包，以解决与使用 Python 在 Raydium 中执行交换交易相关的开发人员问题。

研究人员说：“通过选择一个具有高知名度的线程 – 获得数千次浏览 – 攻击者最大限度地扩大了他们的潜在影响力，”并补充说，这样做是为了“为这个包提供可信度并确保其广泛采用。

虽然答案在 Stack Exchange 上已不复存在，但 The Hacker News 在 2024 年 7 月 9 日的问答网站上发布的另一个未回答的问题中发现了对“raydium”的引用：“我一直在努力在运行 python 3.10.2 的 solana 网络上进行交换，安装了 solana、焊料和 Raydium，但我无法让它工作，“一位用户说。

2024 年 6 月 29 日，一位名叫 SolanaScribe 的用户在社交发布平台 Medium 上分享了一篇题为“如何使用 Python 在 Raydium 上买卖代币：Solana 分步指南”的帖子中也出现了对“raydium-sdk”的引用。

目前尚不清楚这些包是何时从 PyPI 中删除的，因为另外两个用户最近在六天前回复了 Medium 帖子，寻求作者关于安装“raydium-sdk”的帮助。Checkmarx告诉The Hacker News，该帖子不是威胁行为者的工作。

这不是不良行为者第一次采用这种恶意软件分发方法。今年 5 月初，Sonatype 透露了一个名为 pytoileur 的软件包是如何通过另一个名为 Stack Overflow 的问答服务进行推广的，以促进加密货币盗窃。

如果有的话，这一发展证明攻击者正在利用对这些社区驱动平台的信任来推送恶意软件，从而导致大规模的供应链攻击。

研究人员说：“一个受到损害的开发人员可能会无意中将漏洞引入整个公司的软件生态系统，从而可能影响整个企业网络。“这次攻击给个人和组织敲响了警钟，要求他们重新评估他们的安全策略。

Fortinet FortiGuard Labs 详细介绍了一个名为 zlibxjson 的恶意 PyPI 包，该包包含窃取敏感信息的功能，例如 Discord 令牌、保存在 Google Chrome、Mozilla Firefox、Brave 和 Opera 中的 cookie，以及来自浏览器的存储密码。在从 PyPI 中提取之前，该库总共吸引了 602 次下载。

“这些行为可能导致对用户帐户的未经授权的访问和个人数据的泄露，明确将软件归类为恶意软件，”安全研究员Jenna Wang说。