PyPI中发现并移除了12个恶意的Python库

一名软件安全工程师已经识别出上传到官方Python包索引（PyPI）的12个包含恶意代码的Python库。这12个包是由一位网名Bertus的安全工程师在两次不同的扫描中发现的，而且这些包在本文发表之前很久就从PyPI中删除了。所有的包都放在一起，按照相似的模式工作。它们的创造者复制流行包的代码并创建了一个新的库，但是名字稍加修改。例如，4个包（diango, djago, dajngo, djanga）是Django的错误拼写，Django是一个非常流行的Python框架的名称。这些恶意包背后的人向这些新创建但功能完整的项目增加恶意代码，更具体地说，向setup.py文件添加了恶意代码。Setup.py文件包含一组指令，Python库安装程序如“pip”在下载和设置Python项目内的新包时自动执行这些指令。这个额外代码的本质是 ………………………………