Python 官方软件库 Pypl 遭遇垃圾软件包攻击

援引外媒 BleepingComputer 报道，Python 的官方软件库 PyPI 正遭受黑客攻击。黑客利用垃圾软件包的形式发起洪水攻击，而这些软件包均采用来自 BT 种子或者其他在线盗版内容的电影名称命名，部分名称还包括年份、在线、免费等字样。例如“watch-army-of-the-dead-2021-full-online-movie-free-hd-quality”。

Sonatype 的高级软件工程师 Adam Boesch 在 PyPI 上率先发现了以热门电视节目命名的可疑软件包。在接受 BleepingComputer 采访时，他提供了进一步的见解：

我在查看数据集时注意到 wandavision，这对于一个包的名字来说有点奇怪。仔细一看，我发现了那个包，并在 PyPI 上查找它，因为我不相信它。这在其他生态系统中并不罕见，比如 npm，那里有数以百万计的包。幸运的是，像这样的包是相当容易发现和避免的。

除了垃圾关键词和非法视频流网站的链接，在PyPI上发现的垃圾软件包还包含从合法Python软件包中窃取的功能代码和作者信息。当BleepingComputer发现一个名为 “watch-army-of-the-dead-2021-full-on-line-movie-free-hd-quality “的垃圾邮件包并对其进行调查时，该新闻机构发现它包含作者信息以及来自 “jedi- language-server “PyPI包的一些代码。

http://hackernews.cc/wp-content/uploads/2021/05/3ad3c3d097e0948.jpghttp://hackernews.cc/wp-content/uploads/2021/05/989d42178d73586.jpghttp://hackernews.cc/wp-content/uploads/2021/05/a78c88ea3fe38f7.jpg

虽然以前通过在PyPI上搜索 “full-on-line-movie-free “可以很容易地找到许多类似的软件包，但在撰写本文时，Python软件包索引库的维护者似乎已经清理了大部分的垃圾邮件。然而，如果Python开发者决定下载并打开这些垃圾邮件中的任何一个，应该谨慎行事，因为它们可能包含恶意软件或其他恶意代码。

（消息及封面来源：cnBeta）