你在使用pip（Python包管理工具）安装各种软件包的时候，是否曾把软件包的名字打错了？像把numpy打成mumpy，

又比如：

pip install mplatlib

如果你有过这种情况，那么要小心了，这可不仅仅是输错了这么简单的事，因为这些软件包都是真实存在的，你可能无意间就下载安装了一些恶意软件。

近日，安全研究团队Sonatype在官方的Python软件存储库（PyPI）上发现了六个包含不同恶意软件的软件包。这些包故意使用与热门软件包相近的拼写方式，通过用户使用pip安装时的错误拼写“偷渡上岸”之后，将会利用受感染计算机的资源来挖矿。

根据PePy的数据，六款恶意软件的名称与下载数如下：

● maratlib：2462   

● maratlib1：390   

● matplatlib-plus：943   

● mllearnlib：316   

● mplatlib：333   

● learninglib：648

到目前为止这六款恶意软件的下载量已经超过了5000次。而PyPI也已经删除了这些恶意软件包。

虽然其发布者nedog123上传这些恶意软件包似乎只是为了窃取受害者计算机资源用来挖矿，但Sonatype仍然对此事十分重视。这次的发现仅是冰山一角，谁也不知道究竟还有多少潜藏的恶意软件包没被发现、那些恶意软件包又会隐藏着何种目的。

这件事的根源在于第三方可以上传软件包，由此开发人员可以借用或改进前人的工作，这种共享行为提高了所有人的效率，这本来是PyPI的一个优势。但这也代表着他人可以上传恶意的软件，开源是把双刃剑，审核不严的问题一直为用户所诟病。以前就发生过这种事情，一名大学生在几个月的时间内欺骗17000名程序员运行他的脚本超过45000次，甚至骗过了美国政府和军事组织。

不仅PyPI，其他的包管理工具也存在类似的问题。去年在RubyGems有一个被下载了数千次的软件包，其中的恶意软件会试图拦截比特币付款；而自2019年以来，Sonatype已跟踪超过12000个恶意NPM包。

开源存储库可能是宝库，亦可能是恶意软件的载体，在安装各种软件包时一定要万分小心。