據 BleepingComputer 報道,Python 官方軟體包儲存庫 PyPI 遭受了駭客攻擊,攻擊者透過注入大量垃圾郵件包的形式發起了洪水攻擊,這些垃圾郵件及軟體包透過採用電影,電視節目名稱來命名,有些還包含了年份、線上、免費等字樣,例如:“watch-army-of-the-dead-2021-full-online-movie-free-hd-quality”,其格式通常與提供盜版下載的 “torrent ” 或 “warez” 網站相關。
這些軟體包中的每一個都由唯一的假維護者帳戶釋出,這使得 PyPI 官方在刪除刪除惡意軟體包時遇到了挑戰。
Sonatype 高階軟體工程師 Adam Boesch 首先發現了這些以熱門電影電視節目命名的可疑 PyPI 元件。Boesch 在接受 BleepingComputer 採訪時提供了發現細節:
“我在瀏覽資料集時對一個以 ‘wandavision’ 命名的程式包感到有點奇怪。仔細觀察後,我在 PyPI 上進行了查詢。在 npm 等其他生態系統中,這種情況並不罕見,那裡有數百萬個軟體包。幸運的是,像這樣的軟體包很容易發現和避免。”
儘管一些軟體包已經存在了好幾周,但垃圾郵件傳送者仍不斷向 PyPI 新增新包。搜尋結果顯示有“ 10,000+”,但 PyPI 儲存庫中顯示的垃圾郵件程式包要比實際數量少得多,這些偽造軟體包的網頁上都顯示了垃圾郵件關鍵字,並指向電影流媒體網站,但它們的合法性令人懷疑,例如:
https://besflix[。]com/movie/XXXXX/profile。html
圖源:BleepingComputer
除了透過垃圾關鍵詞和非法影片流網站的連結,在 PyPI 上發現的垃圾軟體包還包含從合法 Python 軟體包中竊取的功能程式碼和作者資訊。
例如,一個名為“ watch-army-the-dead-2021-full-online-movie-free-hd-quality”的垃圾郵件包裡面就包含了作者資訊,以及一些來自“ jedi-language-server”PyPI 軟體包的程式碼。
目前,PyPI 官方維護者已清理了大部分惡意軟體包,但開發者在搜尋下載這些包時,仍需謹慎行事,因為它們很可能包含惡意軟體或其他惡意程式碼。
Boesch 笑著說,在使用之前,大家最好先進行檢查驗證。
在今年 2 月,ZDNet 就報道了 PyPI 和 GitLab 上面充斥著大量垃圾郵件包,Python 軟體基金會執行董事 Ewa Jodlowska 當時表示:我們的管理員正在努力解決這些垃圾郵件“,但他也補充到,由於任何人都可以在 pypi。org 上面進行釋出,因為這種現象也是比較普遍的。正如本文所提到的,當惡意地與合法的軟體包並存時,官方及開發人員如何識別正確的軟體包就遇到了非常大的挑戰。
參考連結:
https://www。bleepingcomputer。com/news/security/spammers-flood-pypi-with-pirated-movie-links-and-bogus-packages/
https://www。zdnet。com/article/pypi-gitlab-dealing-with-spam-attacks/
需要私我 “資料” 獲取!
