Python开发者注意!官方软件库PyPi遭遇垃圾软件包攻击
番茄系统家园 · 2022-03-27 11:45:34
援引外媒 BleepingComputer 报道,Python 的官方软件库PyPI正遭受黑客攻击。黑客利用垃圾软件包的形式发起洪水攻击,而这些软件包均采用来自BT种子或者其他在线盗版内容的电影名称命名,部分名称还包括年份、在线、免费等字样。例如“watch-army-of-the-dead-2021-full-online-movie-free-hd-quality”。
Sonatype 的高级软件工程师 Adam Boesch 在 PyPI 上率先发现了以热门电视节目命名的可疑软件包。在接受BleepingComputer采访时,他提供了进一步的见解:
我在查看数据集时注意到 wandavision,这对于一个包的名字来说有点奇怪。仔细一看,我发现了那个包,并在PyPI上查找它,因为我不相信它。这在其他生态系统中并不罕见,比如 npm,那里有数以百万计的包。幸运的是,像这样的包是相当容易发现和避免的。
除了垃圾关键词和非法视频流网站的链接,在PyPI上发现的垃圾软件包还包含从合法Python软件包中窃取的功能代码和作者信息。当BleepingComputer发现一个名为"watch-army-of-the-dead-2021-full-on-line-movie-free-hd-quality"的垃圾邮件包并对其进行调查时,该新闻机构发现它包含作者信息以及来自 "jedi- language-server "PyPI包的一些代码。
虽然以前通过在PyPI上搜索"full-on-line-movie-free"可以很容易地找到许多类似的软件包,但在撰写本文时,Python软件包索引库的维护者似乎已经清理了大部分的垃圾邮件。然而,如果Python开发者决定下载并打开这些垃圾邮件中的任何一个,应该谨慎行事,因为它们可能包含恶意软件或其他恶意代码。
鸿蒙官方战略合作共建——HarmonyOS技术社区
免责声明: 凡标注转载/编译字样内容并非本站原创,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。如果你觉得本文好,欢迎推荐给朋友阅读;本文链接: https://m.nndssk.com/dngz/330279WS5Zvy.html。
