PyPI出现新钓鱼包窃取AWS密钥

安全研究员在PyPI上发现多个恶意包，其窃取AWS密钥发到黑客服务器。 

因为PyPI的审查并不严格，所以经常有恶意包混进去，这次光发现的就有五个之多，分别是：loglib-modules、pyg-modules、pygrata、pygrata-utils、hkg-sol-utils。前两个还试图装成正常的包，后三个却让人摸不着头脑不知道在模仿谁。其中loglib-modules和pygrata-utils带有窃取AWS密钥的模块，而pygrata并不带窃取密钥模块，通过依赖pygrata-utils来实现，这也是它躲过了第一轮安全检测的原因。麻烦的是，窃取而来的密钥发到了域名pygrata[.]com所属服务器，但未设任何保护，任何人都可以看到被窃取的密钥信息。[阅读原文]