專注於軟件供應鏈安全管理的研究公司Sonatype，剛剛在官方的Python軟件存儲庫（PyPI）上發現了六個包含不同惡意軟件的Python包。這些惡意內容被藏於setup.py的安裝說明文件中，繼而導致加密貨幣挖礦類惡意軟件被下載並安裝到受害者的系統上。

Nexus防火牆組件的分析過程（圖自：Sonatype）

過去數月，這幾款惡意軟件包被下載量將近5000 次，且發布者使用了nedog123 的用戶名。

learninglib 中包含的maratlib 依賴項

以下是對應的六款惡意軟件的名稱與下載數：

● maratlib：2371

● maratlib1：379

● matplatlib-plus：913

● mllearnlib：305

● mplatlib：318

● learninglib：626

LKEK 也指向了maratlib 依賴項

其中一些明顯利用了錯誤的單詞拼接方法，並且故意碰瓷PyPI 上熱門的機器學習包文件（比如用李鬼mplatlib 來假冒官方的matplotlib）。

maratlib 代碼中包含了嚴重的混淆

儘管此類攻擊似乎只是為了竊取部分系統資源，但供應鏈安全攻擊還是讓Sonatype 感到十分緊張。

0.6 代碼中高亮顯示的GitHub 網址

即便代碼被嚴重加花、並從GitHub 上調用了其它包，但Sonatype 還是詳細解釋了他們是如何檢測到加密貨幣挖礦類惡意軟件的。

aza2.sh 中的Bash 腳本，也被發現了某些版本的maratlib 。

最後，Sonatype 指出，此類惡意軟件不大可能影響大多數運行高級反病毒防護軟件的普通用戶，而是更加針對那些擁有高性能Linux 機器的機器學習研究人員們。