国家计算机病毒应急处理中心通过对互联网的监测,发现Python软件包索引(PyPI)中存在多款伪装成Python软件包的挖矿恶意软件。攻击者利用拼写错误,将这些恶意软件包名称伪装成时下热门的PyPI工具包,诱使想要安装官方软件包的Python开发人员下载和安装挖矿恶意程序,在受害人不知情的情况下挖掘加密货币,牟取经济利益。据Sonatype公司的研究人员统计,过去几个月内,6款发布在PyPI上的恶意挖矿程序累计下载量已接近5000次。 PyPI(Python Package Index)是Python编程语言的官方索引,是一个用 Python 编程语言创建的软件代码存储库。与GitHub、npm和RubyGems等其他存储库类似,编码人员可以在PyPI中自行上传软件包,供其他开发人员在构建各种应用程序、服务和其他项目时使用。此次攻击活动中,攻击者正是利用了这一特性,在PyPI上传了多个与官方软件包具有类似名称的挖矿恶意软件(如利用mplatlib、maratlib等名称伪装成开发人员常用的绘图工具包matplotlib),当开发人员由于拼写错误等原因输入了仿冒的软件包名称时,就会自动加载恶意脚本,并下载和运行名为“Ubqminer”和“T-Rex”的挖矿恶意软件。