社区所有版块导航
Python
python开源   Django   Python   DjangoApp   pycharm  
DATA
docker   Elasticsearch  
aigc
aigc   chatgpt  
WEB开发
linux   MongoDB   Redis   DATABASE   NGINX   其他Web框架   web工具   zookeeper   tornado   NoSql   Bootstrap   js   peewee   Git   bottle   IE   MQ   Jquery  
机器学习
机器学习算法  
Python88.com
反馈   公告   社区推广  
产品
短视频  
印度
印度  
Py学习  »  Python

发现 2 个恶意 Python 第三方库,大家小心别中招!

编程派 • 5 年前 • 681 次点击  

库的名称肉眼很难区分,大家注意检查自己是否使用了里面提到的两个恶意库。

Python 软件包索引(PyPI)中混入了两个 Python 软件包的恶意版本,目的是从 Python 开发人员的项目中窃取 SSH 和 GPG 密钥。

其中一个恶意库通过使用域名抢注来模拟合法库,它的名称为“python3-dateutil”,是对“dateutil”这个软件包的模仿,带有标准 Python datetime 模块的扩展。

python3-dateutil 本身不包含危险代码,但包含导入名为“jeIlyfish”(注意,第一个“L”实际上是“I”)的软件包的语句,而这是“jellyfish ”库的伪造版本。这个伪造的库是从 GitLab 的仓库中下载的,它混淆了代码,该代码收集了 SSH 和 GPG 密钥以及受感染系统上的目录列表,并将其发送给攻击者。

自 2018 年 12 月 11 日以来,PyPI 中一直存在恶意的“jeIlyfish”。

德国开发人员 Lukas Martini 于 12 月 1 日发现了这两个库 ,并向 Python 安全团队报告,几个小时后,团队便采取了行动将其删除。

提醒使用“dateutil”和“jellyfish”的开发者,都检查一下是否导入或下载了不正确的软件包。

来源:https://www.bleepingcomputer.com/news/security/malicious-python-package-available-in-pypi-repo-for-a-year

签到送书计划

自律改变自我!第①期打卡送书活动启动!

我发起了一个签到送书活动,活动结束后将送出 5 本 Python 技术书。签到次数越多,中奖概率越高。活动详情,请点击:自律改变自我!第①期打卡送书活动启动!

下面是今天的签到二维码:


回复下方「关键词」,获取优质资源


回复关键词「 pybook03」,立即获取主页君与小伙伴一起翻译的《Think Python 2e》电子版

回复关键词「入门资料」,立即获取主页君整理的 10 本 Python 入门书的电子版

回复关键词「m」,立即获取Python精选优质文章合集

回复关键词「book 数字」,将数字替换成 0 及以上数字,有惊喜好礼哦~


推荐阅读



题图:pexels,CC0 授权。

好文和朋友一起看~
Python社区是高质量的Python/Django开发社区
本文地址:http://www.python88.com/topic/50886
 
681 次点击