因为PyPI的审查并不严格,所以经常有恶意包混进去,这次光发现的就有五个之多,分别是:loglib-modules、pyg-modules、pygrata、pygrata-utils、hkg-sol-utils。前两个还试图装成正常的包,后三个却让人摸不着头脑不知道在模仿谁。其中loglib-modules和pygrata-utils带有窃取AWS密钥的模块,而pygrata并不带窃取密钥模块,通过依赖pygrata-utils来实现,这也是它躲过了第一轮安全检测的原因。麻烦的是,窃取而来的密钥发到了域名pygrata[.]com所属服务器,但未设任何保护,任何人都可以看到被窃取的密钥信息。[阅读原文]
发表评论
您还未登录,请先登录。
登录