PyPI 多个软件包因拼写错误包含后门 PyPI 软件包 keep、pyanxdns、api-res-py 的某些版本因依赖包名字拼写错误而包含后门。举例来说，keep 的绝大部分版本都包含合法的 Python 模块 requests(pypi.org) 用于 HTTP 请求，但 keep v.1.2 包含的模块 request（没有 s）是一个恶意程序，能从 Chrome 和 Firefox 等浏览器中窃取 cookies 和个人信息，并尝试窃取浏览器保存的登陆凭证。拼写错误在依赖包攻击中十分常见。pyanxdns 的作者 Marky Egebäck 承认是拼写错误导致的，他的开发者账号并没有遭到入侵。Egebäck 删除了包含 request 依赖的版本。
信息源:https://www.bleepingcomputer.com/news/security/pypi-package-keep-mistakenly-included-a-password-stealer/
频道投稿：@zaihuabot
交流群组：@zaihuachat
花花优券：@zaihuatb