Checkmarx的网络安全研究人员发现了一项新的信息窃取活动，该活动利用域名抢注和被盗的GitHub帐户将恶意Python包分发到PyPI存储库。

Checkmarx的TalFolkman、YehudaGelb、JossefHarushKadouri和TzachiZornshtain在一篇博客文章中表示，在一名Python开发人员抱怨自己成为此次攻击的受害者后，他们发现了这一活动。

显然，该公司认为有超过170,000人处于危险之中。

攻击者首先利用流行的Python镜像Pythonhosted，创建了一个域名抢注的网站版本。他们将其命名为PyPIhosted。然后，他们获取了一个名为Colorama的主要软件包(每月下载量超过1.5亿次)，向其中添加了恶意代码，然后将其上传到他们的域名抢注假镜像上。“这种策略使得用肉眼识别软件包的有害性质变得更加困难，因为它最初看起来是一个合法的依赖项，”研究人员解释道。

另一种策略是窃取流行的GitHub帐户。一个名为“editor-syntax”的帐户被盗用，很可能是通过会话cookie窃取。通过获取会话cookie，攻击者设法绕过所有身份验证方法并直接登录到该人的帐户。Editor-syntax是主要贡献者，维护着Top.ggGitHub组织，该组织的社区成员超过170,000名。威胁行为者利用访问权限将恶意软件提交到Top.ggPython库。

该活动的目的是窃取受害者的敏感数据。Checkmarx的研究人员表示，该恶意软件窃取了浏览器数据(cookie、自动填充信息、浏览历史记录、书签、信用卡和登录凭据，来自Opera、Chrome、Brave、Vivaldi、Yandex和Edge等最大的浏览器)、Discord数据(包括可用于访问帐户的Discord代币)、加密货币钱包数据、Telegram聊天会话、计算机文件和Instagram数据。

进一步分析还发现，信息窃取程序还可以充当键盘记录器。