水木社区手机版
首页
|版面-Python的自由天空(Python)|
新版wap站已上线
返回
1/1
|
转到
主题:[转载]PyPI 多个软件包因拼写错误包含后门
楼主
|
hgoldfish
|
2022-06-14 16:52:04
|
只看此ID
PyPI 软件包 keep、pyanxdns、api-res-py 的某些版本因依赖包名字拼写错误而包含后门。举例来说,keep 的绝大部分版本都包含合法的 Python 模块 requests 用于 HTTP 请求,但 keep v.1.2 包含的模块 request(没有 s)是一个恶意程序,能从 Chrome 和 Firefox 等浏览器中窃取 cookies 和个人信息,并尝试窃取浏览器保存的登陆凭证。拼写错误在依赖包攻击中十分常见。pyanxdns 的作者 Marky Egeb01ck 承认是拼写错误导致的,他的开发者账号并没有遭到入侵。Egeb01ck 删除了包含 request 依赖的版本。
https://www.bleepingcomputer.com/news/security/pypi-package-keep-mistakenly-included-a-password-stealer/
--
FROM 140.224.34.*
1楼
|
pixYY
|
2022-06-15 17:42:19
|
只看此ID
这个应该直接追究 request 的作者吧
【 在 hgoldfish 的大作中提到: 】
: PyPI 软件包 keep、pyanxdns、api-res-py 的某些版本因依赖包名字拼写错误而包含后门。举例来说,keep 的绝大部分版本都包含合法的 Python 模块 requests 用于 HTTP 请求,但 keep v.1.2 包含的模块 request(没有 s)是一个恶意程序,能从 Chrome 和 Firefox 等浏览器中窃
: cookies 和个人信息,并尝试窃取浏览器保存的登陆凭证。拼写错误在依赖包攻击中十分常见。pyanxdns 的作者 Marky Egeb01ck 承认是拼写错误导致的,他的开发者账号并没有遭到入侵。Egeb01ck 删除了包含 request 依赖的版本。
:
https://www.bleepingcomputer.com/news/security/pypi-package-keep-mistakenly-included-a-password-stealer/
: ...................
--
FROM 111.36.203.*
1/1
|
转到
选择讨论区
首页
|
分区
|
热推
BYR-Team
©
2010.
KBS Dev-Team
©
2011
登录完整版