技術(shù)編輯：小魔丨發(fā)自 思否編輯部

公眾號(hào)：SegmentFault

---

據(jù)外媒 BleepingComputer 報(bào)道，官方 Python 軟件包存儲(chǔ)庫(kù) PyPI 被垃圾軟件包淹沒(méi)。

這些包以不同的電影命名，其風(fēng)格與存放盜版內(nèi)容的盜版網(wǎng)站相關(guān)，如 watch-(movie-name)-2021-full-online-movie-free-hd-...。

每一個(gè)垃圾軟件包均由一個(gè)唯一的假名維護(hù)者帳戶發(fā)布，這給 PyPI 一次性刪除垃圾軟件包和垃圾帳戶增加了難度。

這些垃圾包由 Sonatype 高級(jí)軟件工程師 Adam Boesch 率先發(fā)現(xiàn)。他在審核數(shù)據(jù)集時(shí)，發(fā)現(xiàn)了一個(gè)以流行的電視劇命名的 PyPI 組件。

「我在瀏覽數(shù)據(jù)集時(shí)，注意到有一個(gè)組件的名字是『Wanda vision』（旺達(dá)幻視）。軟件包起這樣的名字有點(diǎn)奇怪。仔細(xì)查看后，我發(fā)現(xiàn)了那個(gè)包并在 PyPI 上進(jìn)行查找。這種情況在其他生態(tài)系統(tǒng)中并不罕見(jiàn)，如包含數(shù)百萬(wàn)個(gè)包的 npm。幸運(yùn)的是，這類包很容易發(fā)現(xiàn)和避免?！?/span>

從幾周前開(kāi)始，PyPI 庫(kù)充斥著垃圾軟件包

（圖源：BleepingComputer）

其中一些包已有數(shù)周歷史，但是垃圾包發(fā)送者仍在繼續(xù)向 PyPI 添加新的包。這些偽造包的網(wǎng)頁(yè)包含垃圾關(guān)鍵詞和指向電影流網(wǎng)站的鏈接，盡管其合法性存疑。

如：https://besflix[.]com/movie/X...

除了包含垃圾關(guān)鍵詞和指向視頻流網(wǎng)站的鏈接外，這些包還包含從合法 PyPI 包中竊取的帶有功能代碼和作者信息的文件。例如，垃圾軟件包「watch-army-of-the-dead-2021-full-online-movie-free-hd-quality」包含作者信息和來(lái)自合法 PyPI 包「jedi-language-server」的一些代碼。

PyPI 垃圾軟件包內(nèi)部存在從真實(shí)組件中竊取來(lái)的代碼

（圖源：BleepingComputer）

在 PyPI 上搜索「full-online-movie-free」可以輕松找到許多此類命名的軟件包，目前 Python 軟件包存儲(chǔ)庫(kù)的維護(hù)者似乎已清理了大部分垃圾軟件包。

但是， Python 開(kāi)發(fā)人員在下載并打開(kāi)其中的任何垃圾包時(shí)還應(yīng)格外謹(jǐn)慎，因?yàn)槠渲泻芸赡馨瑦阂廛浖蚱渌麗阂獯a。

把合法包中的代碼與虛假或惡意包結(jié)合，有利于掩蓋攻擊者的蹤跡，并使這些包的檢測(cè)變得更具挑戰(zhàn)性。

據(jù) ZDNet 報(bào)道，今年 2 月，PyPI 因一次大規(guī)模的垃圾郵件攻擊充斥著虛假的「Discord」、「Google」和「Roblox」keygens。

當(dāng)時(shí)，Python 軟件基金會(huì)執(zhí)行董事 Ewa Jodlowska 表示，PyPI 管理員正在努力解決垃圾郵件攻擊，然而，根據(jù) pypi.org 的性質(zhì)，任何人都可以向存儲(chǔ)庫(kù)發(fā)布，因而這種情況很常見(jiàn)。

最近幾個(gè)月，對(duì) npm、RubyGems 和 PyPI 等開(kāi)源生態(tài)系統(tǒng)的攻擊已經(jīng)升級(jí)。攻擊者利用惡意軟件、惡意依賴混淆 copycat 充斥軟件庫(kù)，進(jìn)而傳播其信息。保護(hù)這些軟件存儲(chǔ)庫(kù)已經(jīng)變成了攻擊者和存儲(chǔ)庫(kù)維護(hù)者之間的打地鼠游戲。

參考鏈接：

https://www.bleepingcomputer.com/news/security/spammers-flood-pypi-with-pirated-movie-links-and-bogus-packages/

https://www.tectalk.co/official-python-software-package-repository-flooded-with-spam/