Python官方软件包存储库PyPI遭受了黑客攻击
据 bleepingcomputer 报道,python 官方软件包存储库 pypi 遭受了黑客攻击,攻击者通过注入大量垃圾邮件包的形式发起了洪水攻击,这些垃圾邮件及软件包通过采用电影,电视节目名称来命名,有些还包含了年份、在线、免费等字样,例如:“watch-army-of-the-dead-2021-full-online-movie-free-hd-quality”,其格式通常与提供盗版下载的 “torrent ” 或 “warez” 网站相关。
这些软件包中的每一个都由唯一的假维护者帐户发布,这使得 pypi 官方在删除删除恶意软件包时遇到了挑战。
sonatype 高级软件工程师 adam boesch 首先发现了这些以热门电影电视节目命名的可疑 pypi 组件。boesch 在接受 bleepingcomputer 采访时提供了发现细节:
“我在浏览数据集时对一个以 ‘wandavision’ 命名的程序包感到有点奇怪。仔细观察后,我在 pypi 上进行了查找。在 npm 等其他生态系统中,这种情况并不罕见,那里有数百万个软件包。幸运的是,像这样的软件包很容易发现和避免。”
尽管一些软件包已经存在了好几周,但垃圾邮件发送者仍不断向 pypi 添加新包。搜索结果显示有“ 10,000+”,但 pypi 存储库中显示的垃圾邮件程序包要比实际数量少得多,这些伪造软件包的网页上都显示了垃圾邮件关键字,并指向电影流媒体网站,但它们的合法性令人怀疑,例如:
https://besflix[。]com/movie/xxxxx/profile.html
除了通过垃圾关键词和非法视频流网站的链接,在 pypi 上发现的垃圾软件包还包含从合法 python 软件包中窃取的功能代码和作者信息。
例如,一个名为“ watch-army-the-dead-2021-full-online-movie-free-hd-quality”的垃圾邮件包里面就包含了作者信息,以及一些来自“ jedi-language-server”pypi 软件包的代码。
图源:bleepingcomputer
目前,pypi 官方维护者已清理了大部分恶意软件包,但开发者在搜索下载这些包时,仍需谨慎行事,因为它们很可能包含恶意软件或其他恶意代码。
boesch 笑着说,在使用之前,大家最好先进行检查验证。
在今年 2 月,zdnet 就报道了 pypi 和 gitlab 上充斥着大量垃圾邮件包,python 软件基金会执行董事 ewa jodlowska 当时表示:我们的管理员正在努力解决这些垃圾邮件“,但他也补充到,由于任何人都可以在 pypi.org 上面进行发布,因为这种现象也是比较普遍的。正如本文所提到的,当恶意的与合法的软件包并存时,官方及开发人员如何识别正确的软件包就遇到了非常大的挑战。
参考链接:
https://www.bleepingcomputer.com/news/security/spammers-flood-pypi-with-pirated-movie-links-and-bogus-packages/
https://www.zdnet.com/article/pypi-gitlab-dealing-with-spam-attacks/
文章转载:csdn
(版权归原作者所有,侵删)
晶晨推出集成了ARM CORTEX-A9的芯片-AML8726-M
烽火FitOS VM HA技术方案亮相OpenStack峰会
光伏逆变器产业中电机的多场景应用
格雷码辨析
共模电感在开关电源的应用及工作原理
Python官方软件包存储库PyPI遭受了黑客攻击
工业交换机的安装方式_工业交换机的安装注意事项
孩子隐私被保护 学生上网狗建议“导”为上策
音圈马达无人机助力宣传反诈知识
机智云受邀出席第五届照明湘军交流会
大华股份AI取得任务中字符行识别和单字识别两项第一
Wolfspeed的功率模块如何变革三相工业低电压电机驱动器
全面屏之战!小米MIX2、荣耀Note9发布时间确定:同为3000元新机,你会选谁?
浅谈安科瑞无线测温监控系统方案
EMC摸底测试以及确定问题点
热潮退去,医疗VR产业现如今发展如何?
语音应用中Transformer和循环神经网络的比较
新击键模仿攻击利用人工智能来逃避安全检测
华为将于10月推出自己的地图服务Map Kit
CJJ/T227-2014《城市照明自动控制系统技术规范》免费下载
这些软件包中的每一个都由唯一的假维护者帐户发布,这使得 pypi 官方在删除删除恶意软件包时遇到了挑战。
sonatype 高级软件工程师 adam boesch 首先发现了这些以热门电影电视节目命名的可疑 pypi 组件。boesch 在接受 bleepingcomputer 采访时提供了发现细节:
“我在浏览数据集时对一个以 ‘wandavision’ 命名的程序包感到有点奇怪。仔细观察后,我在 pypi 上进行了查找。在 npm 等其他生态系统中,这种情况并不罕见,那里有数百万个软件包。幸运的是,像这样的软件包很容易发现和避免。”
尽管一些软件包已经存在了好几周,但垃圾邮件发送者仍不断向 pypi 添加新包。搜索结果显示有“ 10,000+”,但 pypi 存储库中显示的垃圾邮件程序包要比实际数量少得多,这些伪造软件包的网页上都显示了垃圾邮件关键字,并指向电影流媒体网站,但它们的合法性令人怀疑,例如:
https://besflix[。]com/movie/xxxxx/profile.html
除了通过垃圾关键词和非法视频流网站的链接,在 pypi 上发现的垃圾软件包还包含从合法 python 软件包中窃取的功能代码和作者信息。
例如,一个名为“ watch-army-the-dead-2021-full-online-movie-free-hd-quality”的垃圾邮件包里面就包含了作者信息,以及一些来自“ jedi-language-server”pypi 软件包的代码。
图源:bleepingcomputer
目前,pypi 官方维护者已清理了大部分恶意软件包,但开发者在搜索下载这些包时,仍需谨慎行事,因为它们很可能包含恶意软件或其他恶意代码。
boesch 笑着说,在使用之前,大家最好先进行检查验证。
在今年 2 月,zdnet 就报道了 pypi 和 gitlab 上充斥着大量垃圾邮件包,python 软件基金会执行董事 ewa jodlowska 当时表示:我们的管理员正在努力解决这些垃圾邮件“,但他也补充到,由于任何人都可以在 pypi.org 上面进行发布,因为这种现象也是比较普遍的。正如本文所提到的,当恶意的与合法的软件包并存时,官方及开发人员如何识别正确的软件包就遇到了非常大的挑战。
参考链接:
https://www.bleepingcomputer.com/news/security/spammers-flood-pypi-with-pirated-movie-links-and-bogus-packages/
https://www.zdnet.com/article/pypi-gitlab-dealing-with-spam-attacks/
文章转载:csdn
(版权归原作者所有,侵删)
晶晨推出集成了ARM CORTEX-A9的芯片-AML8726-M
烽火FitOS VM HA技术方案亮相OpenStack峰会
光伏逆变器产业中电机的多场景应用
格雷码辨析
共模电感在开关电源的应用及工作原理
Python官方软件包存储库PyPI遭受了黑客攻击
工业交换机的安装方式_工业交换机的安装注意事项
孩子隐私被保护 学生上网狗建议“导”为上策
音圈马达无人机助力宣传反诈知识
机智云受邀出席第五届照明湘军交流会
大华股份AI取得任务中字符行识别和单字识别两项第一
Wolfspeed的功率模块如何变革三相工业低电压电机驱动器
全面屏之战!小米MIX2、荣耀Note9发布时间确定:同为3000元新机,你会选谁?
浅谈安科瑞无线测温监控系统方案
EMC摸底测试以及确定问题点
热潮退去,医疗VR产业现如今发展如何?
语音应用中Transformer和循环神经网络的比较
新击键模仿攻击利用人工智能来逃避安全检测
华为将于10月推出自己的地图服务Map Kit
CJJ/T227-2014《城市照明自动控制系统技术规范》免费下载