一个被称为 Slow Pisces的复杂威胁行为者组织，已成为对软件开发人员的重大威胁，他们利用具有欺骗性的编码挑战作为初始攻击手段，来传播基于 Python 的恶意软件。

该攻击活动专门通过专业社交网站、编码论坛和开发平台，向软件开发人员发起攻击。攻击者提供看似无害的编程谜题，而这些谜题中隐藏着恶意有效载荷。

安全研究人员发现，自 2025 年 1 月以来，这类攻击的频率不断增加，受害者主要位于北美和欧洲的科技中心地区。攻击者采用多阶段感染策略，首先向开发人员发送个性化消息，邀请他们参加编码竞赛或合作解决问题的活动。

这些消息包含指向 GitHub 代码库或开发平台的链接，这些链接所指向的内容看似是合法的 Python 编码挑战。

然而，当开发人员执行这些挑战代码时，代码会在偷偷部署一个复杂的 Python 后门程序的同时，显示预期的输出结果，以避免引起怀疑。

Palo Alto Networks 公司的研究人员在调查了多起影响金融科技公司软件开发团队的事件后，发现了这一攻击活动。

他们的分析显示，这些威胁行为者对软件开发工作流程有着深入的了解，他们的目标很可能是知识产权以及对开发环境的访问权限，而并非为了直接获取经济利益。

这些攻击的影响不仅局限于个体开发人员，还可能对整个软件供应链造成潜在的危害。

通过攻击那些有权访问代码库和构建系统的人员，Slow Pisces 组织创造了将漏洞引入广泛分发的软件中的机会。

受到这些攻击影响的组织报告称，出现了知识产权被盗、未经授权访问开发环境的情况，在某些案例中，甚至随后还发生了勒索软件攻击事件。

研究人员将恶意软件组件命名为 PySlowDrop，它采用了复杂的混淆技术，并利用合法的 Python 库来躲避检测。

该后门程序通过修改启动脚本和计划任务来实现持续运行，同时与托管在受攻击的云基础设施上的命令与控制服务器保持加密通信。

感染机制分析

感染过程始于开发人员收到并接受一个编码挑战，这些挑战通常表现为需要进行优化或调试的 Python 实现谜题。

当受害者运行初始的挑战文件时，经过解混淆处理的有效载荷会与命令与控制服务器建立加密连接，然后启动完整的 PySlowDrop 恶意软件的无文件安装过程。

该后门程序通过修改开发人员的配置文件或系统启动文件来实现持续运行，并监控特定的开发活动。它专门针对包含应用程序编程接口（API）密钥、SSH密钥和代码库凭据的环境变量。

PySlowDrop 采用了先进的反分析技术，其中包括环境检测功能，当在虚拟机或沙盒环境中运行时，它会终止执行。

该恶意软件还实施了一种延迟执行策略，研究人员将其称为 “缓慢燃烧”—— 即恶意活动只会在对受害者的开发模式进行长时间观察后才会触发。

安全专家建议开发人员实施严格的代码执行策略，使用隔离的开发环境，并且在运行来自外部来源的代码时要谨慎，即使这些代码看似来自合法的编码平台或专业联系人。