最资讯丨奇客 PyPI 多个软件包因拼写错误包含后门

时间:2022-06-14 06:01:01       来源:奇客资讯


(资料图片)

「星期一」Hello Monday

PyPI 多个软件包因拼写错误包含后门

PyPI 软件包 keep、pyanxdns、api-res-py 的某些版本因依赖包名字拼写错误而包含后门。举例来说,keep 的绝大部分版本都包含合法的 Python 模块 requests 用于 HTTP 请求,但 keep v.1.2 包含的模块 request(没有 s)是一个恶意程序,能从 Chrome 和 Firefox 等浏览器中窃取 cookies 和个人信息,并尝试窃取浏览器保存的登陆凭证。拼写错误在依赖包攻击中十分常见。pyanxdns 的作者 Marky Egebäck 承认是拼写错误导致的,他的开发者账号并没有遭到入侵。Egebäck 删除了包含 request 依赖的版本。

WinterIsComing 发表于

2022年06月13日 19时22分

关键词: 奇客pypi 因拼写错误 最新消息 科技资讯挖掘 高效读科技