背景墨菲安全实验室在持续监测开源软件仓库中的投毒行为，5月9日起发现4个包含“ihateniggers”远程控制木马的Python包被nagogy@gmail.com邮箱关联的账号发布到PyPI仓库，试图针对Windows系统下Python开发者进行攻击。木马利用了discord、replit、playit等多个平台托管后门、隐藏身份，当前木马作者仍在活跃。事件简述我们监测发现，从5月9日开始在PyPI仓库出现利用“ihateniggers”木马进行攻击的后门组件（installpippython），这些包只针对Windows操作系统执行恶意逻辑。这些投毒包通过在setup.py中添加下载执行