ReversingLabs 公司发现了一个名为 aiocpa 的恶意软件包，它伪装成合法的加密货币客户端工具，实则窃取用户敏感信息。攻击者通过发布恶意更新的方式，将用户的加密货币交易代币等数据泄露到远程 Telegram 机器人。该恶意软件包隐藏在 utils/sync.py 文件中，采用了多层混淆技术，且未出现在 GitHub 代码库中，躲避了传统的源代码审计。此事件凸显了软件供应链攻击的威胁，即使是维护良好的项目也可能受到攻击，需要引入专用工具进行更高级的安全评估，以降低风险。

🤔 **恶意软件包 aiocpa 伪装成合法加密货币客户端工具，暗中窃取用户敏感信息。**该恶意软件包通过发布恶意更新的方式，将用户的加密货币交易代币等数据泄露到远程 Telegram 机器人，对用户造成严重威胁。

🕵️ **恶意代码隐藏在 aiocpa 的 utils/sync.py 文件中，并采用了多层混淆技术。**攻击者使用 Base64 编码和 zlib 压缩等手段隐藏恶意代码，增加了检测难度，并通过规避传统的源代码审计，隐藏了恶意功能的来源。

⚠️ **攻击者试图接管现有的 PyPI 软件包，凸显了软件供应链攻击的日益严重性。**该事件表明，即使是拥有合法贡献者的维护良好的项目也可能成为攻击目标，开发者需要提高警惕，加强安全防护。

🛡️ **需要引入专用工具进行高级安全评估，以降低软件供应链攻击风险。**传统的安全评估方法已经无法满足当前的威胁形势，开发者需要将专用工具纳入开发流程，以更有效地识别和防范此类攻击。

📦 **此事件强调了软件供应链安全的重要性，开发者需要重视软件依赖关系的安全管理。**在引入外部软件包时，应仔细审查其来源和代码，并采取必要的安全措施，降低潜在风险。

ReversingLabs 公司的网络安全研究人员通过 PyPI 存储库发现了一种针对加密货币钱包的隐秘供应链攻击。这个名为 aiocpa 的恶意软件包伪装成一个合法的加密客户端工具，向攻击者暴露了敏感的用户信息。ReversingLabs 立即向 PyPI 报告了这一威胁，并最终将其删除。ReversingLabs 先进的机器学习威胁检测平台于 11 月 21 日识别出了该恶意软件包。与典型的错别字抢注或冒充攻击不同，aiocpa 背后的威胁行为者采用了一种更微妙的方法。他们发布了自己的加密客户端软件包，以建立用户信任，然后再通过恶意更新来危害用户。ReversingLabs 的报告指出：“普通开发人员在进行安全评估时……无法判断这个软件包是否可疑。”恶意 GitHub 账户详细信息 | 图片： ReversingLabs恶意代码隐藏在 aiocpa 的 utils/sync.py 文件中，采用了多层混淆，如 Base64 编码和 zlib 压缩。解混淆后，研究人员发现了一个围绕 CryptoPay 初始化函数的包装器，将加密货币交易代币等敏感数据外泄到远程 Telegram 机器人。这种策略性利用在 0.1.13 和 0.1.14 版的 aiocpa 中更加明显，其中偷偷添加了恶意功能。值得注意的是，这些代码并未出现在软件包的 GitHub 代码库中，从而规避了传统的源代码审计。攻击者还试图接管现有的 PyPI 软件包付费，这凸显了软件供应链攻击中日益增长的威胁载体。正如 ReversingLabs 所指出的：“你能检测到这种变化吗？它会自动传播到你的软件解决方案中吗？”ReversingLabs 强调，即使是拥有合法贡献者的维护良好的项目也无法避免受到攻击。这个案例更加说明了高级安全评估的重要性，因为传统方法已经不能满足需要。报告总结道：“需要将专用工具纳入开发流程，以帮助预防这些威胁并降低相关风险。”