Python安全團隊從PyPI (Python Package Index) 移除了兩個被發現會竊取SSH和GPG密鑰的惡意Python庫。兩個庫都由同一名開發者創建，利用名字相似的方法去模仿已知的流行庫的：python3-dateutil試圖模仿流行的dateutil庫，jeIlyfish模仿jellyfish庫。

德國開發者Lukas Martini 上週日發現了這兩個惡意庫，在通知安全團隊之後它們被立即移除。

Martini 稱，惡意代碼只存在於jeIlyfish 中，python3-dateutil 本身不包含惡意代碼，但它會導入 jeIlyfish 庫。

dateutil 開發團隊成員Paul Ganssle 分析後認為，惡意代碼是嘗試從用戶計算機上竊取SSH 和GPG 密鑰，然後發送到一個IP 地址。