PyPI 供应链投毒：Python 的 .pth 触发 Bun/JS 后门

SlowMist 安全团队披露两起 PyPI 供应链投毒事件：攻击者通过恶意 Python wheel 包并利用 .pth 在 Python 解释器启动阶段自动执行恶意代码。样本为 openai_mcp-2.41.2 与 bramin-0.0.4，分别冒充 OpenAI/MCP 生态库与管道操作相关工具，但其底层恶意框架高度一致。核心机制是：安装后写入 .pth 文件，并在 Python 启动时触发执行；恶意代码检查本地是否存在 Bun，如缺失则从 GitHub Releases 下载对应平台二进制并赋予权限，然后运行多层混淆的 JavaScript 载荷（包含 ROT16/AES 解密等阶段）。研究确认两种变体在 PyPI 供应链投毒链路中共享关键要素：三枚完全相同的 4096-bit RSA 公钥、同一套 C2 校验与数据加密逻辑，以及持久化、工作区传播、内存/运行器进程提取、CI 工作流注入与窃取 Secrets 等后渗透组件。区别在于：openai_mcp 在 _index.js 中放置“AI jailbreak”式诱饵注释以干扰自动化分析；而 bramin 的解密结果显示更广泛的凭据窃取范围，包括 GitHub PAT、npm/registry token、Bearer token、AWS 凭据、SSH 密钥等。研究还指出同一 RSA 密钥生态与代码路径复用，表明很可能来自同一行动团伙。SlowMist 的 MistEye 监控系统已触发高危告警并将 IOCs 纳入数据库。