据 ZDNet 的报道，安全公司 ReversingLabs 在扫描了 PyPI(Python Package Index) 的一百多个万个库后，发现其中存在三个恶意 Python 库，它们包含恶意后门，会在安装到 Linux 系统后被激活。

PyPI 显示三个库 libpeshnx、libpesh 和 libari 的作者同是名为 ruri12 的用户，上传时间是2017年11月，距今已接近两年，也就是说在被发现之前，这些库在 PyPI 上已被下载近 20 个月。

PyPI 团队收到通知后于7月9日移除了这三个库，而 ReversingLabs 也于当天向 PyPI repo 维护人员通报了他们的调查结果。由于这三个库都没有描述，所以其用途难以了解。但 PyPI 的统计数据显示它们在被定期下载，每个月有数十次安装。

恶意 Python 库的后门机制只在库安装到 Linux 系统后才会激活，后门允许攻击者向安装这三个库的计算机发送和执行指令。ReversingLabs 还发现三个库中只有 libpeshnx 的后门是活跃的，其余两个（libpesh 和 libari）恶意功能的代码是空的，这表明作者已将其删除，或者正准备推出后门版本。

至于恶意代码，ReversingLabs 提供的资料显示，其后门下载的逻辑非常简单，如果在 Linux 系统中安装了此恶意 Python 库，每当创建交互式非登录 shell 时（即在初始登录后打开 shell 时），它将尝试从 C2 域下载文件，将其保存为用户主目录中名为 .drv 的隐藏文件，并将其自身保存在 .bashrc 中以便作为后台进程运行。代码如下：