资安公司在Python套件储存库PyPI发现3个恶意后门套件

资安公司Reversing Labs在Python官方的第三方软件储存库PyPI（Python Package Index）发现了三个恶意Python套件，当用户在Linux系统安装了这些有后门的函示库，他们会启动并尝试从指挥与控制服务器下载档案。PyPI官方已经在收到通报后，下架这些恶意套件。

名为ruri12的用户在2017年11月，于PyPI上发布了3个有问题的套件，分别为libpeshnx、libpesh以及libari，资安研究人员提到，libpeshnx看起来像是另一个同一作者发布的恶意套件libpeshka的变体，只不过libpeshka已经被举报。而另外的两个套件libpesh以及libari，只有参照恶意函式但不包含其他程式码。

libpeshnx就是一个恶意的后门套件，当套件被安装在Linux系统之后，套件就会尝试从指挥与控制服务器下载档案，并将命名为.drv的隐藏档案储存在用户主目录中，并将恶意程式本身隐藏在.bashrc中，每当用户初始登入开启壳层界面的时候，便会作为后台程序执行。libpeshnx还会创建恶意脚本，以执行开箱即用的恶意负载或是输入恶意函式库，不过需要指定精确的模组以及函式名称。

Reversing Labs提到，libpeshnx套件看起来是恶意软件的开发中版本，用户使用pip安装该套件的时候，并不会自动执行恶意函式，只会将函式安装成为函式库，而且在之前libpeshka被发现的时候，其指挥与控制服务器就已经下线不运作。

不过令人匪夷所思的是，libpeshnx每个月的安装次数仍然有82次，而且其他ruri12的套件安装次数更高。在Reversing Labs联络PyPI的安全团队之后，这些恶意套件都已经从储存库移除。

Reversing Labs提到，骇客总是在寻找各种攻击的管道以及媒介，而现在流行的套件储存库也成为锁定的标的。在套件储存库发现恶意套件事件层出不穷，包括去年5月的时候，Node.js套件管理器Npm被发现存在伪装成Cookie解析器的恶意后门套件，PyPI也在去年10月的时候，被发现了12个恶意套件。