在另一個(gè)針對(duì)Python 包索引（PyPI）存儲(chǔ)庫(kù)的活動(dòng)中，發(fā)現(xiàn)了六個(gè)惡意包在開(kāi)發(fā)人員系統(tǒng)上部署信息竊取程序。

Phylum 在2022年12月22日至12月31日期間發(fā)現(xiàn)的現(xiàn)已刪除的軟件包包括 pyrologin、easytimestamp、discorder、discord-dev、style.py 和 pythonstyles。越來(lái)越多的惡意代碼隱藏在這些庫(kù)的安裝腳本 (setup.py) 中，這意味著運(yùn)行“pip install”命令足以激活惡意軟件部署過(guò)程。

該惡意軟件旨在啟動(dòng)檢索 ZIP 存檔文件的 PowerShell 腳本，安裝 pynput、pydirectinput 和 pyscreenshot 等侵入性依賴項(xiàng)，并運(yùn)行從存檔中提取的 Visual Basic 腳本以執(zhí)行更多 PowerShell 代碼。