根據(jù)外媒 BleepingComputer 近日的報(bào)道，多個(gè) PyPI 軟件包被發(fā)現(xiàn)含有后門，原因是這些軟件包的某些版本存在惡意的 'request' 依賴，涉及的軟件包包括 pyanxdns、api-res-py，以及 keep。

以 keep 為例，它會(huì)使用合法的 Python 模塊 requests 來進(jìn)行 HTTP 請(qǐng)求，但 keep v.1.2 版本中包含了一個(gè)名為 request 的模塊（注：后者缺少末尾的字母 s），雖然僅有一個(gè)字母的差異但沒有 s 的 request 被認(rèn)定為惡意依賴。

受影響的各個(gè)軟件包版本及 CVE ID 如下：

• CVE-2022-30877：keep v1.2 版本受到影響
• CVE-2022-30882：pyanxdns v0.2 版本受到影響
• CVE-2022-31313：api-res-py v0.1 版受到影響

早在 5 月，就有研究人員注意到上述軟件包的部分版本包含拼寫錯(cuò)誤的 request 依賴，而不是合法的 requests。雖然 pyanxdns 和 api-res-py 規(guī)模相對(duì)較小，用戶數(shù)量也不算多，但 keep 則是一個(gè)周下載量平均超過 8000 次的軟件包，如上所述其 1.2 版本使用了惡意依賴。

通過查看 keep v1.2 版本的代碼可以發(fā)現(xiàn)該版本包含惡意后門，而這個(gè)惡意后門就是 request 依賴。即使 request 被 PyPI 刪除，但還有許多鏡像網(wǎng)站沒有完全刪除這個(gè)版本的軟件包，所以不知情的用戶仍有可能會(huì)安裝這個(gè)包含惡意依賴的軟件包。

進(jìn)一步查看可以發(fā)現(xiàn)，代碼的第 57 行包含一個(gè) base64 編碼的 URL，指向下面顯示的 check.so 惡意軟件。分析員還發(fā)現(xiàn)了另一個(gè) URL（x.pyx），也與 request 依賴關(guān)系有關(guān)。

<http://dexy>[.]top/request/check.so 
<http://dexy>[.]top/x.pyx

其中 check.so 傳遞了一個(gè)遠(yuǎn)程訪問木馬（RAT），而 x.pyx 包含信息竊取惡意軟件，可以從 Chrome、Firefox、Yandex、Brave 等網(wǎng)絡(luò)瀏覽器竊取 cookies 和個(gè)人信息。

在多個(gè) PyPI 軟件包中同時(shí)出現(xiàn)相同的惡意依賴，確實(shí)給人們提出了一個(gè)關(guān)鍵問題 —— 這是怎么發(fā)生的？

外媒 BleepingComputer 嘗試聯(lián)系了這些軟件包的作者，以了解這個(gè)問題是由單純的打錯(cuò)了字產(chǎn)生的，還是維護(hù)者賬戶被劫持所導(dǎo)致。從 pyanxdns 作者和維護(hù)者 Marky Egeb?ck 那里得到的回復(fù)確認(rèn)，這個(gè)錯(cuò)誤確實(shí)是由打錯(cuò)字所造成的。

Egeb?ck 表示：

很抱歉，在 setup.py 文件中出現(xiàn)了一個(gè)打字錯(cuò)誤，根據(jù) git 歷史記錄顯示，這是在我添加 install_requires 的時(shí)候添加的。

此后，該開發(fā)者重新向 PyPI 上傳了一個(gè)新版本，并刪除了引用惡意 require 依賴的版本。

目前有在項(xiàng)目中使用 pyanxdns、api-res-py，以及 keep 的開發(fā)者還是需要查看一下目前在使用的版本是什么，避免受到漏洞的影響，盡快升級(jí)到最新版本，或使用其他軟件包進(jìn)行替換。