从报告中得知，例如 PyPI 官方仓库中一款名为 Telethon2 的恶意软件包，实际上是“正牌”Telethon 的“山寨版”，后者已被下载超过6900万次。

▲ 图源 Checkmarx

安全公司发现，在这款名为“Telethon2”的恶意软件包中，黑客并非令恶意代码安装后就启动，而是通过在 telethon / client / messages.py 嵌入两行指令，使得用户在传送“信息”时，才会启动相干恶意代码。

而为了勾引开发者受骗，黑客不光应用了模拟域名（Typosquatting）的手腕，还让这些“山寨”软件包看起来“相当受欢迎”。

由于开发者在挑选软件包的进程，往往会参考 GitHub 统计的数据，攻击者刻意将 PyPI 中的“山寨包”链接 GitHub 上面不相干项目中，导致开发者可能误认为相干软件包受到外界欢迎，从而下降戒心。