Python开发者注意!官方软件库PyPi被垃圾包攻击黑客利用垃圾包的形式发起洪水攻击,这些包以BT种子或其他网络盗版内容中的电影命名,部分名称还包含年份、在线、并且免费。例如“watch-army-of-the-dead-2021-full-online-movie-free-hd-quality”。Sonatype的高级软件工程师AdamBoesch是第一个在PyPI上发现一个以热门电视节目命名的可疑包的人。在接受BleepingComputer采访时,他提供了更深入的见解:我在查看数据集时注意到wandavision,这对于包名称来说有点奇怪。仔细一看,我发现了那个包并在PyPI上查找它,因为我不信任它。这在其他生态系统中并不少见,例如npm,那里有数百万个软件包。幸运的是,像这样的包裹很容易被发现和避免。除了垃圾关键字和非法视频流站点链接外,在PyPI上发现的垃圾包还包含从合法Python包中窃取的功能代码和作者信息。当BleepingComputer发现并调查了一个名为“watch-army-of-the-dead-2021-full-on-line-movie-free-hd-quality”的垃圾邮件包时,新闻机构发现它包含作者信息和来自“绝地语言服务器”PyPI包。虽然过去通过在PyPI上搜索“full-on-line-movie-free”很容易找到许多类似的包,但在撰写本文时,Python包索引的维护者似乎已经清除了大部分垃圾邮件。但是,如果Python开发人员决定下载并打开任何这些垃圾邮件,他们应该谨慎行事,因为它们可能包含恶意软件或其他恶意代码。
