文/图 阿里安全猎户座实验室

近日，国外媒体有安全人员爆出Python pip ssh-decorate被发现存在后门代码！对，又是pip污染。

pip是python的开源包资源库。然而，这个开源库的管理是十分松散的。尤其在安全方面并没有严格的审核机制。一个用户只需要一个email即可注册账户，然后即可上传其源文件到pip资源中。而这个pip资源是被世界上所有python用户使用下载的。如果有人夹杂恶意代码上传了某个包，并以常见程序的名字命名，比如zip，ssh，smb，ftp。那么当有用户尝试搜索并下载使用这个名字的包时，这个用户就会中招，可谓神不知鬼不觉。这就是存在于pip中的供应链安全问题。回头看，针对pip的攻击已经并不新鲜，早在几年前就有国外研究者进行过类似实验。而真正让大家重视起来是在2017年，国内白帽子也针对pip源进