HackerNews 编译，转载请注明出处： 网络安全研究人员发现针对GlueStack相关组件的供应链攻击，超过12个软件包被植入恶意代码。据Aikido Security向The Hacker News透露，攻击者通过篡改“lib/commonjs/index.js”文件注入恶意程序，可执行shell命令、截取屏幕截图并上传受感染设备文件， 未授权访问权限可被用于加密货币挖矿、窃取敏感信息甚至关闭服务等后续攻击。Aikido表示首次检测到软件包被入侵发生在2025年6月6日21:33（GMT）。受影响软件包及版本如下：

@gluestack-ui/utils 0.1....

HackerNews 编译，转载请注明出处： 网络安全研究人员发现新型利用Python软件包索引（PyPI）传播机器学习模型恶意载荷的攻击活动。ReversingLabs披露，攻击者通过Pickle文件格式将恶意软件植入伪装成AI工具的开源组件，相关软件包声称提供阿里云AI服务的Python SDK，实际却部署窃密程序。...

HackerNews 编译，转载请注明出处： Python软件包仓库PyPI上新发现的恶意软件包dbgpkg引发了对开源生态安全性的新一轮担忧。 网络安全公司ReversingLabs披露，这个伪装成调试工具的程序实际上是为植入隐蔽后门提供通道，其恶意活动被认为与亲乌克兰黑客组织Phoenix Hyena存在关联。该组织自2022年俄乌冲突以来持续针对俄罗斯网络目标发起攻击，2024年曾入侵俄罗斯网络安全公司Dr.Web并泄露数据。...

HackerNews 编译，转载请注明出处： 网络安全研究人员在Python软件包索引（PyPI）仓库中发现一个恶意组件，该组件伪装成与Solana区块链相关的应用程序，实则包含窃取源代码和开发者敏感信息的功能。 这款名为solana-token的软件包目前已被下架，但在删除前已被下载761次。该组件最初于2024年4月初上传至PyPI，但其版本编号方案与常规标准完全不同。...

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一个恶意软件包，该软件包被上传到Python软件包索引（PyPI）仓库，其设计目的是将用户在MEXC加密货币交易所下达的交易订单重定向到恶意服务器，并窃取代币。 这个名为ccxt-mexc-futures的软件包声称是基于一个流行的Python库ccxt（全称为CryptoCurrency eXchange Trading）的扩展，该库被用于连接和交易多个加密货币交易所，并提供支付处理服务。...

HackerNews 编译，转载请注明出处： 一个名为 “set-utils” 的恶意 Python Package Index (PyPI) 软件包，通过拦截钱包创建功能窃取以太坊私钥，并通过 Polygon 区块链发送出去。 该软件包伪装成一个 Python 工具，模仿了拥有超过 7.12 亿次下载的热门 “python-utils” 以及拥有超过 2350 万次安装的 “utils”。...

HackerNews 编译，转载请注明出处： 自2019年以来，一个名为“automslc”的恶意PyPi包已从Python Package Index下载超过10万次，利用硬编码的凭据从Deezer流媒体服务盗取音乐。 Deezer是一个在180个国家可用的音乐流媒体服务，提供超过9000万首曲目、播放列表和播客。它通过广告支持的免费层级或付费订阅提供，付费订阅支持更高的音频质量和离线收听。...

根据Fortinet FortiGuard 实验室的最新发现，网络安全研究人员标记了两个恶意软件包，这两个恶意软件包已上传到 Python 软件包索引 (PyPI) 存储库，并具备从受感染主机窃取敏感信息的功能。 这两个名为zebo和cometlogger 的软件包在被下架之前分别吸引了 118 次和 164 次下载。根据 ClickPy 的统计数据，这些下载大部分来自美国、中国、俄罗斯和印度。...

Hackernews 编译，转载请注明出处： 现已删除的流氓软件包被推送到Python的官方第三方软件存储库，该软件包可以在Linux系统上部署加密矿工。 该模块名为“secretslib”，在删除前下载了93次，于2022年8月6日发布到Python包索引（PyPI），并被描述为“简化了秘密匹配和验证”。...

Check Point的安全研究人员在Python软件包索引（PyPI）上发现了10个恶意软件包，这是Python开发人员使用的主要Python软件包索引。 第一个恶意软件包是Ascii2text，这是一个通过名称和描述模仿流行艺术包的恶意包。在Check Point的公告中称攻击者为了防止用户意识到这是个恶意假包，因此复制了整个项目描述，而非过去常见的部分复制描述。一旦下载了Ascii2text，其将会通过下载一个脚本， Check Point在其公告中还提到了Pyg-utils、Pymocks和PyProto2这三个独立的软件包，其共同目标是窃取用户的AWS凭证。...