文｜腾讯洋葱反入侵系统 vspiders、七夜、柯南 概述 4月11日，腾讯洋葱反入侵团队监测到一起PyPI软件供应链攻击事件，经过追溯疑似是由境外APT组织FIN8首次使用该手法进行的针对性攻击。 攻击者在PyPI官方仓库伪造上传了guzzlehttp恶意包，该恶意包通过伪造著名PHP库 guzzlehttp/guzzle的名称 ，诱导用户认为是官方包的Python版本而进行下载安装，试图窃