墨菲安全实验室在持续监测开源软件仓库中的投毒行为，5 月 9 日起发现 4 个包含 "ihateniggers" 远程控制木马的 Python 包被 [email protected] 邮箱关联的账号发布到 PyPI 仓库，试图针对Windows系统下 Python 开发者进行攻击。木马利用了discord、replit、playit 等多个平台托管后门、隐藏身份，当前木马作者仍在活跃。

我们监测发现，从 5 月 9 日开始在 PyPI 仓库出现利用 "ihateniggers" 木马进行攻击的后门组件（installpippython），这些包只针对 Windows 操作系统执行恶意逻辑。

这些投毒包通过在 setup.py 中添加下载执行下载器的逻辑，再通过下载器下载执行木马。下载器首先下载 curl 的 dll 文件为攻击做铺垫，之后下载 "ihateniggers" 木马文件并执行。该木马中存在截取屏幕、执行命令、下载文件、获取剪贴板、获取Wi-Fi密码等恶意行为。

当前投毒者仍在活跃，墨菲安全发现至少有 4 个包含 "ihateniggers" 木马文件的 Python 包，这些包当前在 PyPI 仓库中已被下线。

投毒者 dreamyoak 利用了 discord.com/、https://re… 等平台托管其恶意文件、作为信息收集的后端服务、命令控制的信道，其母语可能是韩语/朝鲜语。

投毒者以 arg 作为关键词在 PyPI 仓库中发布了多个包，以 pythonarg v1.1 为例，当用户通过 pip 安装投毒组件包或者引入组件包的 reqinstaller 模块时，将会从 hxxps://cdn.dreamyoak.repl.co/ 下载并执行恶意软件：

exe文件运行时将从 hxxps://cdn.discordapp.com/ 下载libcurl以及木马windows-services.exe，这些文件被作为附件传到了Discord中。

在文件中也可以提取到开发时的项目路径，将该模块称为rat-downloader：

C:\Users\admin\Desktop\dreamyoak\projects\c++\rat-downloader

Replit提供了从代码编写到构建运行的云端IDE环境，*.repl.co是Replit平台提供用于托管用户项目的域名。

投毒者至少使用了 "dreamyoak" 和 "thughunter" 两个账号，分别注册了 "cdn" 和 "cdn-1" 等多个项目，用于托管下载器，以及后续的信息收集服务。

windows-services.exe 是一个功能全面的远程控制木马（RAT），运行依赖于 libcurl.dll 动态链接库。与hb2Voh.exe相同，都使用 MinGW 构建，投毒者可能更熟悉 Linux 下的开发环境。

在运行后会先通过注册表、fodhelper.exe 等绕过 UAC。

而后连接back-effort.at.ply[.]gg:50555服务，ply.gg是playit.gg提供的游戏托管服务域名，针对游戏场景提供了TCP/UDP的公网端口中转服务。该木马利用playit.gg作为C2服务，降低成本，隐藏其身份。

木马中支持了大量的控制指令，实现了如截取屏幕、执行命令、下载文件、获取剪贴板、获取Wi-Fi密码等功能。

也会依赖其他后门完成额外操作，如获取摄像头画面：

获取敏感信息后留存的文件，多以 ihateniggers 作为前缀命名，投毒者可能是种族主义者（niggers 意为黑鬼）。

窃取后的信息会发送至 replit 的信息收集服务中(hxxps://cdn.dreamyoak.repl.co/api/upload/nagogy133)

投毒者在 2023 年 1 月份就开始用“@thughunter”账号进行服务部署，在Replit中部署了多套环境进行测试，在 5 月 10 号开始以“@dreamyoak”发布除 installpippython 之外的其他投毒包。

在GitHub中，dreamyoak、nagogy账号与木马作者的关联性较高，其仓库中也包含类似功能的恶意软件代码。

通过邮箱关联，攻击者可能使用韩语/朝鲜语作为其母语，其对应名称可能为김기원（金基元）。

当前，PyPI仓库中涉及的python包已经下线，gplayit中的back-effort.at.ply[.]gg:50555服务已经关闭，replit中thughunter的服务未开启。但从其投毒行为来看，还处于早期调试阶段，后续可能持续投毒并提升检测对抗难度。

相关网络IOC包括：