Python開發者注意!小心Pypl軟件庫里隱藏的垃圾軟件包
責編:gltian |2021-06-01 13:18:56世界上最好的語言也逃不過垃圾軟件包的圍堵(狗頭保命)。
前不久,Python官方軟件庫 PyPI 遭遇黑客攻擊。黑客利用垃圾軟件包的形式對PyPI軟件庫發起洪水攻擊,BT 種子以及盜版電影名命名的軟件包扎堆涌向了PyPI軟件庫。
當然,最好的語言不可能任由垃圾軟件包欺壓,只不過排除“隱患”的過程有點難度。
奇葩文件名牽出垃圾軟件包“洪流”
這些垃圾軟件包是由Sonatype高級軟件工程師 Adam Boesch發現的。Adam Boesch在審核數據集時,發現了一個以熱門電視節目『Wanda vision』(旺達幻視)命名的軟件包。對于Python的官方軟件庫來說,這樣的文件名顯然是個可疑的“異類”。隨后,Adam Boesch在軟件庫檢索發現了異常的情況。
對一個名為”watch-army-of-the-dead-2021-full-on-line-movie-free-hd-quality”的垃圾郵件包進行分析后發現,它包含作者信息,以及來自 “jedi-language-server “PyPI包的一些代碼。同時,在 PyPI 上搜索「full-online-movie-free」可以檢索到大量諸如此類的軟件包。
原來,從幾周前開始,PyPI 庫便陸續出現了大量的垃圾軟件包。這些軟件包除了垃圾關鍵詞和可疑非法視頻流網站的鏈接,還存在一部分從合法Python軟件包中竊取功能代碼和作者信息的垃圾軟件包。
目前,Python軟件包索引庫維護者已開始清理這些垃圾軟件包。
高危預警!謹防開發環境染“毒”
竊取功能代碼和作者信息對一個官方軟件庫來說,意味著什么不言而喻。如果有Python開發者下載并打開這些垃圾軟件包中的任何一個,都可能遭遇惡意軟件或其他惡意代碼。開發環境染“毒”導致的威脅更是讓人難以預判。
早在2017年,國內某安全團隊就曾披露過開發環境感染網絡病毒,最終導致軟件攜帶網絡病毒并擴散的事件。近年來,盯上開發軟件甚至是開發環境投遞病毒的網絡攻擊更是屢見不鮮。
PyPI在今年2月時,就曾因一次大規模的垃圾郵件攻擊,而遭到虛假Discord、Google、Robloxkeygens的洗禮。雖然PyPI 管理員會在發現可疑內容后及時處理,但由于PyPI任何人都可以發布內容的性質,很難從根本上杜絕垃圾軟件包甚至是惡意軟件包的出現。
寫在最后
目前,PyPI 官方雖已清理了大部分垃圾軟件包,但小安建議廣大開發者下載使用時,仍需提高警惕謹慎行事。在使用前,較為安全的辦法就是先檢查驗證,以避免意外中“毒”。
來源:安全客