Python社区  »  Python

发现 2 个恶意 Python 第三方库,大家小心别中招!

编程派 • 9 月前 • 257 次点击  

库的名称肉眼很难区分,大家注意检查自己是否使用了里面提到的两个恶意库。

Python 软件包索引(PyPI)中混入了两个 Python 软件包的恶意版本,目的是从 Python 开发人员的项目中窃取 SSH 和 GPG 密钥。

其中一个恶意库通过使用域名抢注来模拟合法库,它的名称为“python3-dateutil”,是对“dateutil”这个软件包的模仿,带有标准 Python datetime 模块的扩展。

python3-dateutil 本身不包含危险代码,但包含导入名为“jeIlyfish”(注意,第一个“L”实际上是“I”)的软件包的语句,而这是“jellyfish ”库的伪造版本。这个伪造的库是从 GitLab 的仓库中下载的,它混淆了代码,该代码收集了 SSH 和 GPG 密钥以及受感染系统上的目录列表,并将其发送给攻击者。

自 2018 年 12 月 11 日以来,PyPI 中一直存在恶意的“jeIlyfish”。

德国开发人员 Lukas Martini 于 12 月 1 日发现了这两个库 ,并向 Python 安全团队报告,几个小时后,团队便采取了行动将其删除。

提醒使用“dateutil”和“jellyfish”的开发者,都检查一下是否导入或下载了不正确的软件包。

来源:https://www.bleepingcomputer.com/news/security/malicious-python-package-available-in-pypi-repo-for-a-year

签到送书计划

自律改变自我!第①期打卡送书活动启动!

我发起了一个签到送书活动,活动结束后将送出 5 本 Python 技术书。签到次数越多,中奖概率越高。活动详情,请点击:自律改变自我!第①期打卡送书活动启动!

下面是今天的签到二维码:


回复下方「关键词」,获取优质资源


回复关键词「 pybook03」,立即获取主页君与小伙伴一起翻译的《Think Python 2e》电子版

回复关键词「入门资料」,立即获取主页君整理的 10 本 Python 入门书的电子版

回复关键词「m」,立即获取Python精选优质文章合集

回复关键词「book 数字」,将数字替换成 0 及以上数字,有惊喜好礼哦~


推荐阅读



题图:pexels,CC0 授权。

好文和朋友一起看~
Python社区是高质量的Python/Django开发社区
本文地址:http://www.python88.com/topic/50886
 
257 次点击  
分享到微博