HackerNews 编译，转载请注明出处： 微软警示，信息窃取类攻击正从 Windows 系统 “快速扩张” 至苹果 macOS 环境，攻击者借助 Python 等跨平台语言开发恶意程序，并滥用可信平台实现大规模分发。

微软 Defender 防御安全研究团队表示，自 2025 年末起，观测到针对 macOS 的信息窃取攻击活动，...

网络安全研究人员已标记 Python 软件包索引（PyPI，Python Package Index）仓库中的一个恶意软件包。该包声称可提供创建 SOCKS5 代理服务的功能，同时暗藏类似后门的隐秘功能，能在 Windows 系统上投放额外有效负载（恶意代码）。 这个名为 “soopsocks” 的欺诈性软件包，在被下架前累计被下载 2653 次。它由一名名为 “soodalpie” 的用户于 2025 年 9 月 26 日首次上传，而该用户账号也正是在当天创建的。...

HackerNews 编译，转载请注明出处： 网络安全研究人员发出警告，Python软件包索引（PyPI）仓库正遭遇恶意攻击，不法分子利用伪装成“时间”相关工具的虚假库，暗藏窃取云访问令牌等敏感数据的功能。 软件供应链安全公司ReversingLabs发现，共有20个恶意软件包，分为两组。这些软件包累计下载量已超过14100次，具体如下：...

HackerNews 编译，转载请注明出处： 广泛使用的 Python JSON Logger 库中披露的一个漏洞，通过依赖链缺陷，暴露了约 4300 万个安装，使其面临潜在的远程代码执行（RCE）攻击风险。该漏洞编号为 GHSA-wmxh-pxcx-9w24，CVSS v3 严重程度评分为 8.8/10， 安全研究员 Omnigodz 发现，攻击者可能利用此漏洞在使用受影响版本（3.2.0 和 3.2.1）日志工具的系统中执行任意代码。维护者在研究员通过 GitHub 安全咨询程序负责任地披露问题后，发布了修复版本 3.3.0。...

一个名为“pycord-self”的恶意软件包出现在Python包索引（PyPI）上，该软件包的目标用户为Discord开发者，旨在窃取认证令牌并在系统中植入后门以实现远程控制。 该软件包模仿了广受欢迎的“discord.py-self”软件包，后者下载量已近2800万次，并且甚至提供了正版项目的功能。 正版软件包是一个Python库，允许与Discord的用户API通信，并允许开发者以编程方式控制账户。...

近期，有攻击者利用虚假的求职面试和编码测试诱骗开发人员下载运行恶意软件。该活动被称为 VMConnect， 疑似与朝鲜 Lazarus 集团有关 。
针对 Python 开发人员的虚假编码测试
恶意行为者会伪装成知名金融服务公司（包括 Capital One 等美国大公司）的招聘人员， 然后利用虚假的求职面试和编码测试诱骗受害者执行恶意软件，恶意软件通常隐藏在编译好的 Python 文件中或嵌入在压缩文件中。恶意软件随后从缓存的编译文件中执行，因此很难被发现。...

攻击链，来源：CERT-UA SuperOps RMM 是一个合法的远程访问工具，但在这种情况下，它被用来授予攻击者对受害者计算机的未经授权的访问权限。

CERT-UA 指出，未使用 SuperOps RMM 产品的组织应将其存在或相关网络活动（例如对“superops.com”或“superops....

安全公司Checkmarx报告称，自今年1月以来，共有八个不同的开发工具中包含隐藏的恶意负载。最近一个是上个月发布的名为"pyobfgood"的工具。与之前的七个软件包一样，pyobfgood伪装成一款合法的混淆工具，开发人员可以使用它来防止代码的逆向工程和篡改。一旦执行，它会安装一个恶意负载， 其功能包括：
- 泄露详细的主机信息 - 从Chrome浏览器窃取密码...

Python URL 解析函数中的一个高严重性安全漏洞已被披露，该漏洞可绕过 blocklist 实现的域或协议过滤方法，导致任意文件读取和命令执行。 CERT 协调中心（CERT/CC）在周五的一份公告中说：当整个 URL 都以空白字符开头时，urlparse 就会出现解析问题。"这个问题会影响主机名和方案的解析，最终导致任何拦截列表方法失效"。...

近日，研究人员发现Python软件包索引（PyPI）中存在四个不同的流氓软件包，包括投放恶意软件，删除netstat工具以及操纵SSH authorized_keys文件。 存在问题的软件包分别是是aptx、bingchilling2、httops和tkint3rs，这些软件包在被删除之前总共被下载了约450次。其中aptx是冒充高通公司比较流行的同名音频编、解码器，而httops和tkint3rs则分别是https和tkinter的盗版。 经过对安装脚本中注入的恶意代码分析显示，存在一个虚假的Meterpreter有效载荷，它被伪装成 "pip"，可以利用它来获得对受感染主机的shell访问。...