近日,多个 PyPI 软件包被发现含有后门,原因是这些软件包的某些版本存在恶意的 ‘request’ 依赖,涉及的软件包包括 pyanxdns、api-res-py,以及 keep。
通过查看 keep v1.2 版本的代码可以发现该版本包含恶意后门,而这个恶意后门就是 request 依赖。即使 request 被 PyPI 删除,但还有许多镜像网站没有完全删除这个版本的软件包,所以不知情的用户仍有可能会安装这个包含恶意依赖的软件包。 进一步查看可以发现,代码的第 57 行包含一个 base64 编码的 URL,指向下面显示的 check.so 恶意软件。分析员还发现了另一个 URL(x.pyx),也与 request 依赖关系有关。 其中 check.so 传递了一个远程访问木马(RAT),而 x.pyx 包含信息窃取恶意软件,可以从 Chrome、Firefox、Yandex、Brave 等网络浏览器窃取 cookies 和个人信息。 从 pyanxdns 作者和维护者 Marky Egebäck 那里得到的回复确认,这个错误确实是由打错字所造成的。 |