前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >紧急!PyPi被盯上了,大家抓紧检查自己的pip list

紧急!PyPi被盯上了,大家抓紧检查自己的pip list

作者头像
我去热饭
发布2022-05-18 20:59:56
1910
发布2022-05-18 20:59:56
举报
文章被收录于专栏:测试开发干货测试开发干货

pypi 作为python最知名的第三方库,牵扯着全世界python开发者的神经。

我们平时用的pip install 下载就是从pypi去下载的。

而如今,pypi被恶意利用了!

某些坏人会上传一些山寨名字的包,这些包是从正式包中拷贝的代码,然后添加了木马或者后门程序,把你运行的敏感信息上传到他们的服务器里。

这种恶意包的名字会和使用最广泛的正版包名字差不多,不仔细看根本看不出来!

比如:正版:urllib3 恶意:urlib3

不过,官方宣称,在上周已经进行了大清扫,下掉了这些恶意包

部分名字如下,大家体验下。

代码语言:javascript
复制
– acqusition (uploaded 2017-06-03 01:58:01, impersonates acquisition)

– apidev-coop (uploaded 2017-06-03 05:16:08, impersonates apidev-coop_cms)

– bzip (uploaded 2017-06-04 07:08:05, impersonates bz2file)

– crypt (uploaded 2017-06-03 08:03:14, impersonates crypto)

– django-server (uploaded 2017-06-02 08:22:23, impersonates django-server-guardian-api)

– pwd (uploaded 2017-06-02 13:12:33, impersonates pwdhash)

– setup-tools (uploaded 2017-06-02 08:54:44, impersonates setuptools)

– telnet (uploaded 2017-06-02 15:35:05, impersonates telnetsrvlib)

– urlib3 (uploaded 2017-06-02 07:09:29, impersonates urllib3)

– urllib (uploaded 2017-06-02 07:03:37, impersonates urllib3)

官方宣称,这些恶意包的开发者使用的语言是python 2.x,如果在python3中运行会报错。所以python2的用户们抓紧看下吧。

证据表明,这些恶意包已经被用于很多大规模的项目中了。

从今年6月到9月 一直活跃,被下载了无数次~

NBU解释道,这些恶意库和那些正常名字的库代码相同,它们的功能是相同的,但是在其安装脚本 setup.py 中包含恶意代码。

这些恶意代码会收集被感染主机的信息和很多敏感个人数据。

这些被收集的数据,格式就像 “Y:urllib-1.21.1 admin testmachine”,被上传到一个中国的 IP 地址“121.42.217.44:8080″。

专家建议 Python 开发人员检查他们的软件,看是否也使用了被感染的库,并使用最初安全的库重新编译软件包。

并且,专家建议 Python 开发人员不要使用 pip(一个Python 包安装程序)来安装第三方库,因为 pip 在下载第三方库时不会进行加密签名的验证。

大家还是去pypi官网下载看看吧。

最后提醒python3的用户们也要小心。 毕竟这伙团队在py2的恶意包都被下了之后,他们很可能会转头看向py3。

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2019-12-25,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 测试开发干货 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档