Python 软件包索引 PyPI 正在被垃圾文件淹没

330 阅读3分钟

Python软件包索引(PyPI)是Python编程语言的软件库,帮助找到和安装由Python社区开发和共享的软件,现在正被垃圾软件包淹没。

这些软件包的名字与各种流行的电影相似,这让我们想起了通过互联网传播的torrent和盗版内容:watch-(movie-name)-2021-full-on-line-movie-free-hd-...

每一个软件包都是由一个虚构维护者账户发布的,这使得Python软件包索引很难同时摆脱软件包和垃圾邮件账户。

Sonatype公司的高级软件工程师Adam Boesch在审计一个数据集时发现了这个问题,他分辨出一个PyPI组件是以一个流行的电视情景喜剧命名的,听起来很奇怪。

我在查看数据集时注意到'wandavision',这对于一个包的名字来说有点奇怪。

因为我不相信,所以更仔细地看,并在PyPI上查找了它。

根据BleepingComputer的报道,垃圾邮件发送者不断向PyPI添加更新的软件包,即使其中一些软件包已经有几周的历史。

搜索结果中 "10,000+"的数字可能是不准确的,因为他们注意到PyPI仓库中显示的垃圾邮件包的真实数量要少得多。

下面是之前发布的许多软件包中的一个例子。

Spammers continuing to flood PyPI

据ZDNet报道,今年2月,假冒的 "Discord"、"Google "和 "Roblox "充斥着PyPI,这是一次巨大的垃圾邮件攻击。Python软件基金会执行董事Ewa Jodlowska曾对该技术新闻网站表示,PyPI管理员正在努力解决垃圾邮件的攻击,但由于pypi.org的特点,任何人都可以向仓库发帖,这样的事件很平常。

这些软件包不仅包括准视频流网站的链接和垃圾邮件的关键词,还包括工作代码的文件和限制在有效PyPI软件包中的作者信息。

Bleeping Computer注意到,垃圾邮件包 "watch-army-of-the-dead-2021-full-on-line-movie-free-hd-quality,"包含作者信息和一些来自合法PyPI包 "jedi-language-server "的代码。

为了阻止这些软件包被轻易发现,恶意的黑客将有效软件包的代码与假的或恶意的软件包结合起来,以隐藏他们的痕迹

Adam Boesch说。

这在其他生态系统中并不罕见,比如npm,在那里你有数以百万计的软件包。像这样的包,幸运的是相当容易发现和避免。"

在使用一个软件包之前,调查它总是一个好主意。如果有些东西看起来不对劲,那是有原因的。

最近,对npm、RubyGems和PyPI等开源生态系统的攻击迅速增加。我们看到网络犯罪分子充斥着恶意软件、恶意的模仿者,或者只是义勇军的软件包来传播他们的信息。

保护这些资源库已经变得类似于一个游戏,玩家用木槌将随机出现的玩具鼹鼠打回他们在网络犯罪分子和资源库维护者之间的洞里。

原文链接:heimdalsecurity.com/blog/pypi-r…