世界上最好的語言也逃不過垃圾軟件包的圍堵(狗頭保命)。
前不久,Python官方軟件庫 PyPI 遭遇黑客攻擊。黑客利用垃圾軟件包的形式對PyPI軟件庫發(fā)起洪水攻擊,BT 種子以及盜版電影名命名的軟件包扎堆涌向了PyPI軟件庫。
當然,最好的語言不可能任由垃圾軟件包欺壓,只不過排除“隱患”的過程有點難度。
奇葩文件名牽出垃圾軟件包“洪流”
這些垃圾軟件包是由Sonatype高級軟件工程師 Adam Boesch發(fā)現(xiàn)的。Adam Boesch在審核數(shù)據(jù)集時,發(fā)現(xiàn)了一個以熱門電視節(jié)目『Wanda vision』(旺達幻視)命名的軟件包。對于Python的官方軟件庫來說,這樣的文件名顯然是個可疑的“異類”。隨后,Adam Boesch在軟件庫檢索發(fā)現(xiàn)了異常的情況。
對一個名為”watch-army-of-the-dead-2021-full-on-line-movie-free-hd-quality”的垃圾郵件包進行分析后發(fā)現(xiàn),它包含作者信息,以及來自 “jedi-language-server “PyPI包的一些代碼。同時,在 PyPI 上搜索「full-online-movie-free」可以檢索到大量諸如此類的軟件包。
原來,從幾周前開始,PyPI 庫便陸續(xù)出現(xiàn)了大量的垃圾軟件包。這些軟件包除了垃圾關(guān)鍵詞和可疑非法視頻流網(wǎng)站的鏈接,還存在一部分從合法Python軟件包中竊取功能代碼和作者信息的垃圾軟件包。
目前,Python軟件包索引庫維護者已開始清理這些垃圾軟件包。
高危預警!謹防開發(fā)環(huán)境染“毒”
竊取功能代碼和作者信息對一個官方軟件庫來說,意味著什么不言而喻。如果有Python開發(fā)者下載并打開這些垃圾軟件包中的任何一個,都可能遭遇惡意軟件或其他惡意代碼。開發(fā)環(huán)境染“毒”導致的威脅更是讓人難以預判。
早在2017年,國內(nèi)某安全團隊就曾披露過開發(fā)環(huán)境感染網(wǎng)絡病毒,最終導致軟件攜帶網(wǎng)絡病毒并擴散的事件。近年來,盯上開發(fā)軟件甚至是開發(fā)環(huán)境投遞病毒的網(wǎng)絡攻擊更是屢見不鮮。
PyPI在今年2月時,就曾因一次大規(guī)模的垃圾郵件攻擊,而遭到虛假Discord、Google、Robloxkeygens的洗禮。雖然PyPI 管理員會在發(fā)現(xiàn)可疑內(nèi)容后及時處理,但由于PyPI任何人都可以發(fā)布內(nèi)容的性質(zhì),很難從根本上杜絕垃圾軟件包甚至是惡意軟件包的出現(xiàn)。
寫在最后
目前,PyPI 官方雖已清理了大部分垃圾軟件包,但小安建議廣大開發(fā)者下載使用時,仍需提高警惕謹慎行事。在使用前,較為安全的辦法就是先檢查驗證,以避免意外中“毒”。
來源:安全客