pypi 作为python最知名的第三方库,牵扯着全世界python开发者的神经。
我们平时用的pip install 下载就是从pypi去下载的。
而如今,pypi被恶意利用了!
某些坏人会上传一些山寨名字的包,这些包是从正式包中拷贝的代码,然后添加了木马或者后门程序,把你运行的敏感信息上传到他们的服务器里。
这种恶意包的名字会和使用最广泛的正版包名字差不多,不仔细看根本看不出来!
比如:正版:urllib3 恶意:urlib3
不过,官方宣称,在上周已经进行了大清扫,下掉了这些恶意包
部分名字如下,大家体验下。
– acqusition (uploaded 2017-06-03 01:58:01, impersonates acquisition)
– apidev-coop (uploaded 2017-06-03 05:16:08, impersonates apidev-coop_cms)
– bzip (uploaded 2017-06-04 07:08:05, impersonates bz2file)
– crypt (uploaded 2017-06-03 08:03:14, impersonates crypto)
– django-server (uploaded 2017-06-02 08:22:23, impersonates django-server-guardian-api)
– pwd (uploaded 2017-06-02 13:12:33, impersonates pwdhash)
– setup-tools (uploaded 2017-06-02 08:54:44, impersonates setuptools)
– telnet (uploaded 2017-06-02 15:35:05, impersonates telnetsrvlib)
– urlib3 (uploaded 2017-06-02 07:09:29, impersonates urllib3)
– urllib (uploaded 2017-06-02 07:03:37, impersonates urllib3)
官方宣称,这些恶意包的开发者使用的语言是python 2.x,如果在python3中运行会报错。所以python2的用户们抓紧看下吧。
证据表明,这些恶意包已经被用于很多大规模的项目中了。
从今年6月到9月 一直活跃,被下载了无数次~
NBU解释道,这些恶意库和那些正常名字的库代码相同,它们的功能是相同的,但是在其安装脚本 setup.py 中包含恶意代码。
这些恶意代码会收集被感染主机的信息和很多敏感个人数据。
这些被收集的数据,格式就像 “Y:urllib-1.21.1 admin testmachine”,被上传到一个中国的 IP 地址“121.42.217.44:8080″。
专家建议 Python 开发人员检查他们的软件,看是否也使用了被感染的库,并使用最初安全的库重新编译软件包。
并且,专家建议 Python 开发人员不要使用 pip(一个Python 包安装程序)来安装第三方库,因为 pip 在下载第三方库时不会进行加密签名的验证。
大家还是去pypi官网下载看看吧。
最后提醒python3的用户们也要小心。 毕竟这伙团队在py2的恶意包都被下了之后,他们很可能会转头看向py3。