Fortinet的安全研究团队近日发现两款隐藏恶意行为的Python套件，分别为Zebo-0.1.0与Cometlogger-0.1。这两个套件表面看起来只是普通的开源代码，实则内含多种恶意功能，突显了开源软件供应链攻击日益增加的资安威胁。

研究人员指出，Zebo-0.1.0的恶意功能包括键盘记录、屏幕截取、数据外泄与持久性机制设置。该恶意套件利用了如pynput与ImageGrab等合法Python函数库，结合混淆技术来隐藏其真正意图。Zebo程序会在用户的电脑上记录所有键盘输入并定期截取屏幕画面，这些数据随后被上传至远程服务器。值得注意的是，Zebo借由设置系统启动时自动运行机制来实现持久性，确保恶意行为能够持续运行。

另一款恶意套件Cometlogger-0.1则更加复杂且危险，其功能涵盖动态文件修改、Webhook注入、信息窃取与反虚拟机检测等。Cometlogger会诱导用户输入Webhook URL，并将其嵌入到多个程序文件中，以进一步将敏感信息如密码、Cookie与浏览历史发送至攻击者控制的服务器。Cometlogger还会侦测虚拟机环境，一旦发现运行环境为虚拟化系统，Cometlogger程序会自动终止，以回避安全分析。

Zebo与Cometlogger会冲击开发者用户与企业资安，受感染的系统可能面临敏感信息泄漏、凭证窃取以及更广泛的安全漏洞问题。Fortinet研究人员强调，所有能够安装PyPI套件的平台，都可能受到这些恶意套件影响，因此企业需要加强对第三方套件的审查与管理，提高对开源套件的警觉性，避免运行未经验证的代码。