奇客 PyPI 多个软件包因拼写错误包含后门

我是创始人李岩:很抱歉!给自己产品做个广告,点击进来看看。  
奇客 PyPI 多个软件包因拼写错误包含后门
「星期一」 Hello Monday

PyPI 多个软件包因拼写错误包含后门

PyPI 软件包 keep、pyanxdns、api-res-py 的某些版本因依赖包名字拼写错误而包含后门。举例来说,keep 的绝大部分版本都包含合法的 Python 模块 requests 用于 HTTP 请求,但 keep v.1.2 包含的模块 request(没有 s)是一个恶意程序,能从 ChromeFirefox 等浏览器中窃取 cookies 和个人信息,并尝试窃取浏览器保存的登陆凭证。拼写错误在依赖包攻击中十分常见。pyanxdns 的作者 Marky Egebäck 承认是拼写错误导致的,他的开发者账号并没有遭到入侵。Egebäck 删除了包含 request 依赖的版本。

WinterIsComing 发表于

2022年06月13日 19时22分

奇客 PyPI 多个软件包因拼写错误包含后门

随意打赏

提交建议
微信扫一扫,分享给好友吧。