奇客 PyPI 多个软件包因拼写错误包含后门
「星期一」
Hello Monday
PyPI 多个软件包因拼写错误包含后门
PyPI 软件包 keep、pyanxdns、api-res-py 的某些版本因依赖包名字拼写错误而包含后门。举例来说,keep 的绝大部分版本都包含合法的 Python 模块 requests 用于 HTTP 请求,但 keep v.1.2 包含的模块 request(没有 s)是一个恶意程序,能从 Chrome 和 Firefox 等浏览器中窃取 cookies 和个人信息,并尝试窃取浏览器保存的登陆凭证。拼写错误在依赖包攻击中十分常见。pyanxdns 的作者 Marky Egebäck 承认是拼写错误导致的,他的开发者账号并没有遭到入侵。Egebäck 删除了包含 request 依赖的版本。