援引外媒 BleepingComputer 报道,Python 的官方软件库 PyPI 正遭受黑客攻击。黑客利用垃圾软件包的形式发起洪水攻击,而这些软件包均采用来自 BT 种子或者其他在线盗版内容的电影名称命名,部分名称还包括年份、在线、免费等字样。例如“watch-army-of-the-dead-2021-full-online-movie-free-hd-quality”。
Sonatype 的高级软件工程师 Adam Boesch 在 PyPI 上率先发现了以热门电视节目命名的可疑软件包。在接受 BleepingComputer 采访时,他提供了进一步的见解:
| 我在查看数据集时注意到 wandavision,这对于一个包的名字来说有点奇怪。仔细一看,我发现了那个包,并在 PyPI 上查找它,因为我不相信它。这在其他生态系统中并不罕见,比如 npm,那里有数以百万计的包。幸运的是,像这样的包是相当容易发现和避免的。 |
除了垃圾关键词和非法视频流网站的链接,在PyPI上发现的垃圾软件包还包含从合法Python软件包中窃取的功能代码和作者信息。当BleepingComputer发现一个名为 "watch-army-of-the-dead-2021-full-on-line-movie-free-hd-quality "的垃圾邮件包并对其进行调查时,该新闻机构发现它包含作者信息以及来自 "jedi- language-server "PyPI包的一些代码。
虽然以前通过在PyPI上搜索 "full-on-line-movie-free "可以很容易地找到许多类似的软件包,但在撰写本文时,Python软件包索引库的维护者似乎已经清理了大部分的垃圾邮件。然而,如果Python开发者决定下载并打开这些垃圾邮件中的任何一个,应该谨慎行事,因为它们可能包含恶意软件或其他恶意代码。
