援引外媒 BleepingComputer 報道,Python 的官方軟件庫 PyPI 正遭受黑客攻擊。黑客利用垃圾軟件包的形式發起洪水攻擊,而這些軟件包均採用來自 BT 種子或者其他在線盜版內容的電影名稱命名,部分名稱還包括年份、在線、免費等字樣。例如“watch-army-of-the-dead-2021-full-online-movie-free-hd-quality”。
![[圖]Python官方軟件庫Pypl遭遇垃圾軟件包攻擊](https://dailyclipper.s3.ap-northeast-1.amazonaws.com/wp-content/uploads/2021/05/20210524_60ab264cb7c81.jpg)
![[圖]Python官方軟件庫Pypl遭遇垃圾軟件包攻擊](https://dailyclipper.net/wp-content/themes/justnews/themer/assets/images/lazy.png)
Sonatype 的高級軟件工程師 Adam Boesch 在 PyPI 上率先發現了以熱門電視節目命名的可疑軟件包。在接受 BleepingComputer 採訪時,他提供了進一步的見解:
我在查看數據集時注意到 wandavision,這對於一個包的名字來說有點奇怪。仔細一看,我發現了那個包,並在 PyPI 上查找它,因為我不相信它。這在其他生態系統中並不罕見,比如 npm,那裡有數以百萬計的包。幸運的是,像這樣的包是相當容易發現和避免的。
除了垃圾關鍵詞和非法視頻流網站的鏈接,在PyPI上發現的垃圾軟件包還包含從合法Python軟件包中竊取的功能代碼和作者信息。當BleepingComputer發現一個名為 “watch-army-of-the-dead-2021-full-on-line-movie-free-hd-quality “的垃圾郵件包並對其進行調查時,該新聞機構發現它包含作者信息以及來自 “jedi- language-server “PyPI包的一些代碼。
![[圖]Python官方軟件庫Pypl遭遇垃圾軟件包攻擊](https://dailyclipper.s3.ap-northeast-1.amazonaws.com/wp-content/uploads/2021/05/20210524_60ab264ded9a7.jpg)
![[圖]Python官方軟件庫Pypl遭遇垃圾軟件包攻擊](https://dailyclipper.s3.ap-northeast-1.amazonaws.com/wp-content/uploads/2021/05/20210524_60ab264f556c5.jpg)
![[圖]Python官方軟件庫Pypl遭遇垃圾軟件包攻擊](https://dailyclipper.s3.ap-northeast-1.amazonaws.com/wp-content/uploads/2021/05/20210524_60ab26508b57b.jpg)
雖然以前通過在PyPI上搜索 “full-on-line-movie-free “可以很容易地找到許多類似的軟件包,但在撰寫本文時,Python軟件包索引庫的維護者似乎已經清理了大部分的垃圾郵件。然而,如果Python開發者決定下載並打開這些垃圾郵件中的任何一個,應該謹慎行事,因為它們可能包含惡意軟件或其他惡意代碼。