從報告中得知，例如 PyPI 官方倉庫中一款名為 Telethon2 的惡意軟件包，實際上是“正牌”Telethon 的“山寨版”，后者已被下載超過6900萬次。

▲ 圖源 Checkmarx

安全公司發(fā)現，在這款名為“Telethon2”的惡意軟件包中，黑客并非令惡意代碼安裝后就啟動，而是通過在 telethon / client / messages.py 嵌入兩行指令，使得用戶在傳送“信息”時，才會啟動相干惡意代碼。

而為了勾引開發(fā)者受騙，黑客不光應用了模擬域名（Typosquatting）的手腕，還讓這些“山寨”軟件包看起來“相當受歡迎”。

由于開發(fā)者在挑選軟件包的進程，往往會參考 GitHub 統(tǒng)計的數據，攻擊者刻意將 PyPI 中的“山寨包”鏈接 GitHub 上面不相干項目中，導致開發(fā)者可能誤認為相干軟件包受到外界歡迎，從而下降戒心。