软件包正在成为供应链攻击的热门目标。最近,有许多恶意软件攻击 npm、PyPI 和 RubyGems 等流行存储库的新闻。如果开发人员盲目信任存储库并从这些来源安装软件包。有时甚至允许将恶意软件包上传到包存储库,那么将使恶意攻击者有机会使用存储库传播病毒并对开发人员和 CI/CD 机器发起攻击。
JFrog 安全研究团队(前身为 Vdoo)拥有自动识别恶意包的工具,他们报告托管在 PyPI 上的几个 Python 包是危险的。他们已通知 PyPI 这些恶意软件包的存在。根据pepy.tech 的数据,他们估计这些恶意软件包的下载次数约为 30,000 次。他们目前没有关于使用这些恶意软件包造成的实际影响的数据。