據 BleepingComputer 報道，Python 官方軟件包存儲庫 PyPI 遭受了黑客攻擊，攻擊者通過注入大量垃圾郵件包的形式發起了洪水攻擊，這些垃圾郵件及軟件包通過采用電影，電視節目名稱來命名，有些還包含了年份、在線、免費等字樣，例如：“watch-army-of-the-dead-2021-full-online-movie-free-hd-quality”，其格式通常與提供盜版下載的 “torrent ” 或 “warez” 網站相關。

這些軟件包中的每一個都由唯一的假維護者帳戶發布，這使得 PyPI 官方在刪除刪除惡意軟件包時遇到了挑戰。

Sonatype 高級軟件工程師 Adam Boesch 首先發現了這些以熱門電影電視節目命名的可疑 PyPI 組件。Boesch 在接受 BleepingComputer 采訪時提供了發現細節：

“我在瀏覽數據集時對一個以 ‘wandavision’ 命名的程序包感到有點奇怪。仔細觀察后，我在 PyPI 上進行了查找。在 npm 等其他生態系統中，這種情況并不罕見，那里有數百萬個軟件包。幸運的是，像這樣的軟件包很容易發現和避免。”

盡管一些軟件包已經存在了好幾周，但垃圾郵件發送者仍不斷向 PyPI 添加新包。搜索結果顯示有“ 10，000+”，但 PyPI 存儲庫中顯示的垃圾郵件程序包要比實際數量少得多，這些偽造軟件包的網頁上都顯示了垃圾郵件關鍵字，并指向電影流媒體網站，但它們的合法性令人懷疑，例如：

https://besflix［。］com/movie/XXXXX/profile.html

除了通過垃圾關鍵詞和非法視頻流網站的鏈接，在 PyPI 上發現的垃圾軟件包還包含從合法 Python 軟件包中竊取的功能代碼和作者信息。

例如，一個名為“ watch-army-the-dead-2021-full-online-movie-free-hd-quality”的垃圾郵件包里面就包含了作者信息，以及一些來自“ jedi-language-server”PyPI 軟件包的代碼。

圖源：BleepingComputer

目前，PyPI 官方維護者已清理了大部分惡意軟件包，但開發者在搜索下載這些包時，仍需謹慎行事，因為它們很可能包含惡意軟件或其他惡意代碼。

Boesch 笑著說，在使用之前，大家最好先進行檢查驗證。

在今年 2 月，ZDNet 就報道了 PyPI 和 GitLab 上充斥著大量垃圾郵件包，Python 軟件基金會執行董事 Ewa Jodlowska 當時表示：我們的管理員正在努力解決這些垃圾郵件“，但他也補充到，由于任何人都可以在 pypi.org 上面進行發布，因為這種現象也是比較普遍的。正如本文所提到的，當惡意的與合法的軟件包并存時，官方及開發人員如何識別正確的軟件包就遇到了非常大的挑戰。

參考鏈接：

https://www.bleepingcomputer.com/news/security/spammers-flood-pypi-with-pirated-movie-links-and-bogus-packages/

https://www.zdnet.com/article/pypi-gitlab-dealing-with-spam-attacks/

文章轉載：CSDN

（版權歸原作者所有，侵刪）

編輯：jq