近期PyPI生态发生两起连续的供应链投毒事件，攻击者利用恶意wheel包发起攻击。恶意包包括伪装成OpenAI SDK的openai_mcp-2.41.2和伪装成管道操作库的bramin-0.0.4，通过.pth文件部署后门。这些文件在Python解释器启动时自动执行恶意代码，下载并通过Bun运行时执行JavaScript载荷。两个样本共享相同的加密材料、C2基础设施和后渗透模块，表明它们属于同一攻击框架。恶意包采用品牌仿冒、AI越狱诱骗文本和多层混淆等手法规避检测。慢雾MistEye系统检测并预警了这些攻击，已将相关IOC纳入威胁情报库。这些攻击专门针对AI/MCP开发者和生物信息学社区，窃取凭证、建立持久化并支持远程命令执行。

关键事实

• 两起PyPI供应链攻击均利用.pth文件实现代码自动执行
• 恶意包伪装成OpenAI SDK和管道操作库
• 两次攻击共享相同的加密密钥、C2通道和载荷
• 通过Bun运行时执行JavaScript载荷，采用多层混淆
• 使用AI越狱诱骗文本规避AI安全扫描器

KeyAudit 数据视角