安全 [圖]Python官方軟件庫Pypl遭遇垃圾軟件包攻擊 [圖]Python官方軟件庫Pypl遭遇

援引外媒 BleepingComputer 報道，Python 的官方軟件庫 PyPI 正遭受黑客攻擊。黑客利用垃圾軟件包的形式發(fā)起洪水攻擊，而這些軟件包均采用來自 BT 種子或者其他在線盜版內(nèi)容的電影名稱命名，部分名稱還包括年份、在線、免費等字樣。例如“watch-army-of-the-dead-2021-full-online-movie-free-hd-quality” 。

文章圖片

Sonatype 的高級軟件工程師 Adam Boesch 在 PyPI 上率先發(fā)現(xiàn)了以熱門電視節(jié)目命名的可疑軟件包。在接受 BleepingComputer 采訪時，他提供了進一步的見解：

我在查看數(shù)據(jù)集時注意到 wandavision，這對于一個包的名字來說有點奇怪。仔細一看，我發(fā)現(xiàn)了那個包，并在 PyPI 上查找它，因為我不相信它。這在其他生態(tài)系統(tǒng)中并不罕見，比如 npm，那里有數(shù)以百萬計的包。幸運的是，像這樣的包是相當容易發(fā)現(xiàn)和避免的。

除了垃圾關(guān)鍵詞和非法視頻流網(wǎng)站的鏈接，在PyPI上發(fā)現(xiàn)的垃圾軟件包還包含從合法Python軟件包中竊取的功能代碼和作者信息。當BleepingComputer發(fā)現(xiàn)一個名為 "watch-army-of-the-dead-2021-full-on-line-movie-free-hd-quality "的垃圾郵件包并對其進行調(diào)查時，該新聞機構(gòu)發(fā)現(xiàn)它包含作者信息以及來自 "jedi- language-server "PyPI包的一些代碼。

文章圖片

文章圖片

【安全|[圖]Python官方軟件庫Pypl遭遇垃圾軟件包攻擊】雖然以前通過在PyPI上搜索 "full-on-line-movie-free "可以很容易地找到許多類似的軟件包，但在撰寫本文時，Python軟件包索引庫的維護者似乎已經(jīng)清理了大部分的垃圾郵件。然而，如果Python開發(fā)者決定下載并打開這些垃圾郵件中的任何一個，應(yīng)該謹慎行事，因為它們可能包含惡意軟件或其他惡意代碼。