官方Python存储库PyPI被垃圾包淹没。这些软件包以不同的电影或电视节目命名,并且通常与托管盗版内容的仿冒网站和Torrent网站相关联。这些包中的每一个都由一个独特的维护者帐户发布,这使得PyPI很难一次删除所有包和垃圾帐户。Sonatype的高级软件工程师AdamBoesch在审查数据集时发现了这个问题,并注意到一个以热门电视剧命名的PyPI组件。“我在查看数据集时注意到有一个名为wandavision(Wanda和Vision)的PyPl组件,它的包名有点奇怪,”Boesch说。剧集结束后,Boesch发现了更多与提供盗版下载的网站相关的PyPl组件。命名约定通常是“watch-(movie-name)-2021-full-on-line-movie-free-hd-”虽然其中一些包已经可用了数周,但crapware的提交者继续添加更新的包到皮皮。通过关键字搜索,有10,000+相关结果。这些假包的网页包含垃圾邮件关键字和盗版电影流媒体网站的链接。除此之外,Boesch观察到这些软件包中的每一个都是由不同的维护者发布的,这可能使PyPI管理员难以删除软件包并立即禁止所有帐户。除了包含垃圾关键字和盗版视频流网站链接外,这些包还包含从合法PyPI包中提取的功能代码和作者信息的文件。例如,一个发现的垃圾包中的“watch-army-the-dead-2021-full-online-movie-free-hd-quality”包含作者信息和一些合法的PyPI包jedi-language-server代码。恶意行为者将合法包的代码与其他伪造或恶意包结合起来以掩盖他们的意图并使这些包的检测更具挑战性。本文转自OSCHINA文章标题:PyPI正被大量垃圾包淹没
