據ZDNet的報導，安全公司ReversingLabs在掃描了PyPI(Python Package Index)的一百多個萬個庫後，發現其中存在三個惡意Python庫，它們包含惡意後門，會在安裝到Linux系統後被激活。

PyPI 顯示三個庫libpeshnx、libpesh 和libari 的作者同是名為ruri12 的用戶，上傳時間是2017年11月，距今已接近兩年，也就是說在被發現之前，這些庫在PyPI 上已被下載近20 個月。

PyPI 團隊收到通知後於7月9日移除了這三個庫，而 ReversingLabs 也於當天向PyPI repo 維護人員通報了他們的調查結果。由於這三個庫都沒有描述，所以其用途難以了解。但PyPI 的統計數據顯示它們在被定期下載，每個月有數十次安裝。

惡意Python 庫的後門機制只在庫安裝到Linux 系統後才會激活，後門允許攻擊者向安裝這三個庫的計算機發送和執行指令。ReversingLabs 還發現三個庫中只有libpeshnx 的後門是活躍的，其餘兩個（libpesh 和libari）惡意功能的代碼是空的，這表明作者已將其刪除，或者正準備推出後門版本。

至於惡意代碼，ReversingLabs 提供的資料顯示，其後門下載的邏輯非常簡單，如果在Linux 系統中安裝了此惡意Python 庫，每當創建交互式非登錄shell 時（即在初始登錄後打開shell 時），它將嘗試從C2 域下載文件，將其保存為用戶主目錄中名為.drv 的隱藏文件，並將其自身保存在.bashrc 中以便作為後台進程運行。代碼如下：