紧急！PyPi被盯上了，大家抓紧检查自己的pip list

pypi 作为python最知名的第三方库，牵扯着全世界python开发者的神经。

我们平时用的pip install 下载就是从pypi去下载的。

而如今，pypi被恶意利用了！

某些坏人会上传一些山寨名字的包，这些包是从正式包中拷贝的代码，然后添加了木马或者后门程序，把你运行的敏感信息上传到他们的服务器里。

这种恶意包的名字会和使用最广泛的正版包名字差不多，不仔细看根本看不出来！

比如：正版：urllib3 恶意：urlib3

不过，官方宣称，在上周已经进行了大清扫，下掉了这些恶意包

部分名字如下，大家体验下。

– acqusition (uploaded 2017-06-03 01:58:01, impersonates acquisition)

– apidev-coop (uploaded 2017-06-03 05:16:08, impersonates apidev-coop_cms)

– bzip (uploaded 2017-06-04 07:08:05, impersonates bz2file)

– crypt (uploaded 2017-06-03 08:03:14, impersonates crypto)

– django-server (uploaded 2017-06-02 08:22:23, impersonates django-server-guardian-api)

– pwd (uploaded 2017-06-02 13:12:33, impersonates pwdhash)

– setup-tools (uploaded 2017-06-02 08:54:44, impersonates setuptools)

– telnet (uploaded 2017-06-02 15:35:05, impersonates telnetsrvlib)

– urlib3 (uploaded 2017-06-02 07:09:29, impersonates urllib3)

– urllib (uploaded 2017-06-02 07:03:37, impersonates urllib3)

官方宣称，这些恶意包的开发者使用的语言是python 2.x,如果在python3中运行会报错。所以python2的用户们抓紧看下吧。

证据表明，这些恶意包已经被用于很多大规模的项目中了。

从今年6月到9月 一直活跃，被下载了无数次～

NBU解释道，这些恶意库和那些正常名字的库代码相同，它们的功能是相同的，但是在其安装脚本 setup.py 中包含恶意代码。

这些恶意代码会收集被感染主机的信息和很多敏感个人数据。

这些被收集的数据，格式就像 “Y:urllib-1.21.1 admin testmachine”，被上传到一个中国的 IP 地址“121.42.217.44:8080″。

专家建议 Python 开发人员检查他们的软件，看是否也使用了被感染的库，并使用最初安全的库重新编译软件包。

并且，专家建议 Python 开发人员不要使用 pip（一个Python 包安装程序）来安装第三方库，因为 pip 在下载第三方库时不会进行加密签名的验证。

大家还是去pypi官网下载看看吧。

最后提醒python3的用户们也要小心。 毕竟这伙团队在py2的恶意包都被下了之后，他们很可能会转头看向py3。