В репозитории PyPI был обнаружен вредоносный пакет pytoileur, который притворялся инструментом управления API на Python, но на самом деле загружал троянские исполняемые файлы Windows.

Эти файлы могли осуществлять слежку и кражу криптовалюты, а также обеспечивали устойчивость в системе.
Пакет был скачан 264 раза и использовал обманные описания для избежания обнаружения. Скрытый код в установочном файле активировал вредоносную нагрузку, которая загружала исполняемый файл с внешнего сервера.
Исполняемый файл Runtime.exe использовал команды PowerShell и VBScript для установки и защиты от обнаружения, нацеливаясь на данные пользователей и криптовалютные активы, связанные с сервисами Binance и Coinbase.
Pytoileur является частью более широкой кампании по созданию вредоносных пакетов, включая такие, как gpt-requests и pyefflorer, которые используют подобные методы для сокрытия вредоносного содержимого. Это свидетельствует о том, что злоумышленники обновляют старые методы для расширения своей сети.