整理 | 苏宓
出品 | CSDN(ID:CSDNnews)
作为 Python 的正式第三方软件套件的软件存储库,用户可以通过 PyPI 下载超过数十万个 Python 软件包。
但是近日以来,有不少开发者发现,PyPI 中多个软件包被发现含有后门,如“keep”、“pyanxdns”、“api-res-py”等常用的软件包赫然在列,其中主要原因可能是因为依赖包名字拼写错误而导致了后门的存在。
多个软件包包含后门
这一情况最早可追溯到上个月,有 GitHub 用户 duxinglin1 发现,易受攻击的软件包版本中包含拼写错误的“request”依赖项,而非合法的“requests”。
以 keep 软件包举例,虽然其大多数版本都包含合法的 Python 模块 requests 用于 HTTP 请求,但是 keep v1.2 中包含的模块 request(没有 s)是一个恶意程序,该程序可以从 Chrome 和 Firefox 等浏览器中窃取 cookies 和个人信息,并尝试窃取浏览器保存的登陆凭证。
duxinglin1 在 GitHub 上写道,“我们在这个项目的 1.2 版本中发现了一个恶意后门,其恶意后门就是请求包。即使请求包被 PyPI 删除了,很多镜像站点并没有完全删除这个包,所以还是可以安装的。当使用 pip3 时,输入“ install keep==1.2 -i http://pypi.doubanio.com/simple -- trusted-host pypi.doubanio.com”,仍然可以成功安装请求恶意插件。”
来源:https://github.com/OrkoHunter/keep/issues/85#issue-1232453532=
在使用率上,keep 每周平均下载次数超过了 8000 次。因此使用 keep v1.2 的用户均受到影响,不止于此,较为小众的“pyanxdns”和“api-res-py”也被使用恶意依赖项“request”捕获。
据外媒 BleepingComputer 报道,受影响的主要软件包如下:
CVE-2022-30877:'keep' v1.2 包含后门'request';
CVE-2022-30882: 'pyanxdns' v0.2 受影响
CVE-2022-31313:'api-res-py' v0.1 受影响
别自己写 Bug
在经过外媒的确认,其中“pyanxdns”软件包的开发者 Mark Egebeck 证实,这种情况是由于“粗心”的拼写错误导致的后门,而不是因为账户泄露和维护者的自我破坏。
有些巧合的是,“keep”和“api-res-py”包的作者也在输入的时候写成了“request”而不是正确的“requests”,从而导致了恶意依赖的存在。
对此,GitHub 用户 duxinglin1 给出的修复建议是在 PyPI 上删除 keep v1.2 版本。
不过,BleepingComputer 称,开发者也将新版本重新上传到 PyPI,并删除了引用“request”恶意依赖的版本。
接下来,开发者需要注意的就是,别自己写 Bug。
参考:https://www.bleepingcomputer.com/news/security/pypi-package-keep-mistakenly-included-a-password-stealer/
热门跟贴