根據外媒 BleepingComputer 近日的報道，多個 PyPI 軟件包被發現含有后門，原因是這些軟件包的某些版本存在惡意的 'request' 依賴，涉及的軟件包包括 pyanxdns、api-res-py，以及 keep。

以 keep 為例，它會使用合法的 Python 模塊 requests 來進行 HTTP 請求，但 keep v.1.2 版本中包含了一個名為 request 的模塊（注：后者缺少末尾的字母 s），雖然僅有一個字母的差異但沒有 s 的 request 被認定為惡意依賴。

受影響的各個軟件包版本及 CVE ID 如下：

• CVE-2022-30877：keep v1.2 版本受到影響
• CVE-2022-30882：pyanxdns v0.2 版本受到影響
• CVE-2022-31313：api-res-py v0.1 版受到影響

早在 5 月，就有研究人員注意到上述軟件包的部分版本包含拼寫錯誤的 request 依賴，而不是合法的 requests。雖然 pyanxdns 和 api-res-py 規模相對較小，用戶數量也不算多，但 keep 則是一個周下載量平均超過 8000 次的軟件包，如上所述其 1.2 版本使用了惡意依賴。

通過查看 keep v1.2 版本的代碼可以發現該版本包含惡意后門，而這個惡意后門就是 request 依賴。即使 request 被 PyPI 刪除，但還有許多鏡像網站沒有完全刪除這個版本的軟件包，所以不知情的用戶仍有可能會安裝這個包含惡意依賴的軟件包。

進一步查看可以發現，代碼的第 57 行包含一個 base64 編碼的 URL，指向下面顯示的 check.so 惡意軟件。分析員還發現了另一個 URL（x.pyx），也與 request 依賴關系有關。

<http://dexy>[.]top/request/check.so 
<http://dexy>[.]top/x.pyx

其中 check.so 傳遞了一個遠程訪問木馬（RAT），而 x.pyx 包含信息竊取惡意軟件，可以從 Chrome、Firefox、Yandex、Brave 等網絡瀏覽器竊取 cookies 和個人信息。

在多個 PyPI 軟件包中同時出現相同的惡意依賴，確實給人們提出了一個關鍵問題 —— 這是怎么發生的？

外媒 BleepingComputer 嘗試聯系了這些軟件包的作者，以了解這個問題是由單純的打錯了字產生的，還是維護者賬戶被劫持所導致。從 pyanxdns 作者和維護者 Marky Egeb?ck 那里得到的回復確認，這個錯誤確實是由打錯字所造成的。

Egeb?ck 表示：

很抱歉，在 setup.py 文件中出現了一個打字錯誤，根據 git 歷史記錄顯示，這是在我添加 install_requires 的時候添加的。

此后，該開發者重新向 PyPI 上傳了一個新版本，并刪除了引用惡意 require 依賴的版本。

目前有在項目中使用 pyanxdns、api-res-py，以及 keep 的開發者還是需要查看一下目前在使用的版本是什么，避免受到漏洞的影響，盡快升級到最新版本，或使用其他軟件包進行替換。