近日，多个 PyPI 软件包被发现含有后门，原因是这些软件包的某些版本存在恶意的 'request' 依赖，涉及的软件包包括 pyanxdns、api-res-py，以及 keep。

通过查看 keep v1.2 版本的代码可以发现该版本包含恶意后门，而这个恶意后门就是 request 依赖。即使 request 被 PyPI 删除，但还有许多镜像网站没有完全删除这个版本的软件包，所以不知情的用户仍有可能会安装这个包含恶意依赖的软件包。

进一步查看可以发现，代码的第 57 行包含一个 base64 编码的 URL，指向下面显示的 check.so 恶意软件。分析员还发现了另一个 URL（x.pyx），也与 request 依赖关系有关。

其中 check.so 传递了一个远程访问木马（RAT），而 x.pyx 包含信息窃取恶意软件，可以从 Chrome、Firefox、Yandex、Brave 等网络浏览器窃取 cookies 和个人信息。

从 pyanxdns 作者和维护者 Marky Egebäck 那里得到的回复确认，这个错误确实是由打错字所造成的。