多家媒体披露 ，包件Python 软件包索引（PyPI）资源库中一个“休眠已久”的出现软件包在两年后突然再次更新了 ，研究人员发现，异常意软威胁攻击者利用其传播名为 Nova Sentinel 的更新信息窃取恶意软件。

软件供应链安全公司 Phylum 表示
，黑客2022 年 4 月，利用一个为 django-log-tracker 的其传软件包首次发布出现在 PyPI 上 。免费模板两年后 ，包件网络研究人员重新检测到该库出现异常更新。出现

研究人员指出 ，异常意软Django-log-tracker 自上线以来已经被其它用户下载了 3866 次，更新但链接的黑客 GitHub 存储库自 2022 年 4 月 10 日以来没有更新过一次 ，本次恶意更新表明该库开发者的利用 PyPI 账户很可能已经被威胁攻击者入侵了 。

值得一提的服务器租用其传是
，恶意版本（1.0.4）在发布当日被下载 107 次。包件目前 ，django-log-tracker 软件包已无法从 PyPI 下载。

研究人员在分析后发现，威胁攻击者的恶意更改简单明了，包括从远程服务器（“45.88.180[.] 54”）获取一个名为“Updater_1.4.4_x64.exe”的高防服务器可执行文件，然后使用 Python os.startfile（）函数启动它。二进制的执行文件嵌入了 Nova Sentinel 窃取恶意软件。（Sekoia 在 2023 年 11 月首次记录到其以虚假 Electron 应用程序的形式 ，在提供视频游戏下载的虚假网站上疯狂传播）

此外 ，威胁攻击者在恶意更新中还几乎删除了 django-log-tracker 软件包的香港云服务器大部分原始内容 ，只留下了 __init__.py 和 example.py 文件。

最后
，Phylum 安全研究人员强调 ，此次 PyPI 软件包传播恶意软件案例有趣之处在于，攻击向量似乎是通过一个受损的 PyPI 账户进行了一次供应链攻击 
，如果该软件包这是建站模板一个非常“流行”的包，那么任何将此包列为依赖项的项目，如果在其依赖项文件中没有指定版本或指定灵活版本，都会获取此包的最新恶意版本。

参考文章：https://thehackernews.com/2024/02/dormant-pypi-package-compromised-to.html

(责任编辑：网络安全)