Python 安全团队从 PyPI (Python Package Index) 移除了两个被发现会窃取 SSH 和 GPG 密钥的恶意 Python 库。两个库都由同一名开发者创建，利用名字相似的方法去模仿已知的流行库的：python3-dateutil 试图模仿流行的 dateutil 库，jeIlyfish 模仿 jellyfish 库。

　　德国开发者 Lukas Martini 上周日发现了这两个恶意库，在通知安全团队之后它们被立即移除。

　　Martini 称，恶意代码只存在于 jeIlyfish 中，python3-dateutil 本身不包含恶意代码，但它会导入 jeIlyfish 库。

　　dateutil 开发团队成员 Paul Ganssle 分析后认为，恶意代码是尝试从用户计算机上窃取 SSH 和 GPG 密钥，然后发送到一个 IP 地址。

　　第一个植入了木马的库名是

　　python3-dateutil

　　它模仿了流行的python dateutil 库，在名称前面假装是python3版本混入Pypi中。

　　第二个是“ jeIlyfish ”(第一个L字母的小写I)，它模仿“jellyfish ”库。

　　总的来说，最近学Python的人越来越多，连小学生都开始用起来了，而安全风险也就随之而来，务必在日常编程安装Python库的时候擦亮眼睛，注意大小写，甚至自行进行代码审计，防止中招带来毁灭性的损失。