據(jù) BleepingComputer 報(bào)道,Python 官方軟件包存儲(chǔ)庫 PyPI 遭受了黑客攻擊,攻擊者通過注入大量垃圾郵件包的形式發(fā)起了洪水攻擊,這些垃圾郵件及軟件包通過采用電影,電視節(jié)目名稱來命名,有些還包含了年份、在線、免費(fèi)等字樣,例如:“watch-army-of-the-dead-2021-full-online-movie-free-hd-quality”,其格式通常與提供盜版下載的 “torrent ” 或 “warez” 網(wǎng)站相關(guān)。
這些軟件包中的每一個(gè)都由唯一的假維護(hù)者帳戶發(fā)布,這使得 PyPI 官方在刪除刪除惡意軟件包時(shí)遇到了挑戰(zhàn)。
Sonatype 高級(jí)軟件工程師 Adam Boesch 首先發(fā)現(xiàn)了這些以熱門電影電視節(jié)目命名的可疑 PyPI 組件。Boesch 在接受 BleepingComputer 采訪時(shí)提供了發(fā)現(xiàn)細(xì)節(jié):
“我在瀏覽數(shù)據(jù)集時(shí)對(duì)一個(gè)以 ‘wandavision’ 命名的程序包感到有點(diǎn)奇怪。仔細(xì)觀察后,我在 PyPI 上進(jìn)行了查找。在 npm 等其他生態(tài)系統(tǒng)中,這種情況并不罕見,那里有數(shù)百萬個(gè)軟件包。幸運(yùn)的是,像這樣的軟件包很容易發(fā)現(xiàn)和避免?!?/p>
盡管一些軟件包已經(jīng)存在了好幾周,但垃圾郵件發(fā)送者仍不斷向 PyPI 添加新包。搜索結(jié)果顯示有“ 10,000+”,但 PyPI 存儲(chǔ)庫中顯示的垃圾郵件程序包要比實(shí)際數(shù)量少得多,這些偽造軟件包的網(wǎng)頁上都顯示了垃圾郵件關(guān)鍵字,并指向電影流媒體網(wǎng)站,但它們的合法性令人懷疑,例如:
https://besflix[。]com/movie/XXXXX/profile.html
除了通過垃圾關(guān)鍵詞和非法視頻流網(wǎng)站的鏈接,在 PyPI 上發(fā)現(xiàn)的垃圾軟件包還包含從合法 Python 軟件包中竊取的功能代碼和作者信息。
例如,一個(gè)名為“ watch-army-the-dead-2021-full-online-movie-free-hd-quality”的垃圾郵件包里面就包含了作者信息,以及一些來自“ jedi-language-server”PyPI 軟件包的代碼。
圖源:BleepingComputer
目前,PyPI 官方維護(hù)者已清理了大部分惡意軟件包,但開發(fā)者在搜索下載這些包時(shí),仍需謹(jǐn)慎行事,因?yàn)樗鼈兒芸赡馨瑦阂廛浖蚱渌麗阂獯a。
Boesch 笑著說,在使用之前,大家最好先進(jìn)行檢查驗(yàn)證。
在今年 2 月,ZDNet 就報(bào)道了 PyPI 和 GitLab 上充斥著大量垃圾郵件包,Python 軟件基金會(huì)執(zhí)行董事 Ewa Jodlowska 當(dāng)時(shí)表示:我們的管理員正在努力解決這些垃圾郵件“,但他也補(bǔ)充到,由于任何人都可以在 pypi.org 上面進(jìn)行發(fā)布,因?yàn)檫@種現(xiàn)象也是比較普遍的。正如本文所提到的,當(dāng)惡意的與合法的軟件包并存時(shí),官方及開發(fā)人員如何識(shí)別正確的軟件包就遇到了非常大的挑戰(zhàn)。
參考鏈接:
https://www.bleepingcomputer.com/news/security/spammers-flood-pypi-with-pirated-movie-links-and-bogus-packages/
https://www.zdnet.com/article/pypi-gitlab-dealing-with-spam-attacks/
文章轉(zhuǎn)載:CSDN
(版權(quán)歸原作者所有,侵刪)
編輯:jq
-
python
+關(guān)注
關(guān)注
56文章
4797瀏覽量
84727
原文標(biāo)題:Python 庫 PyPI 遭受危機(jī)!
文章出處:【微信號(hào):magedu-Linux,微信公眾號(hào):馬哥Linux運(yùn)維】歡迎添加關(guān)注!文章轉(zhuǎn)載請(qǐng)注明出處。
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
評(píng)論