Python 库 PyPI 危机！

据 BleepingComputer 报道，Python 官方软件包存储库 PyPI 遭受了黑客攻击，攻击者通过注入大量垃圾邮件包的形式发起了洪水攻击，这些垃圾邮件及软件包通过采用电影，电视节目名称来命名，有些还包含了年份、在线、免费等字样，例如：“watch-army-of-the-dead-2021-full-online-movie-free-hd-quality”，其格式通常与提供盗版下载的 “torrent ” 或 “warez” 网站相关。

图源：BleepingComputer

这些软件包中的每一个都由唯一的假维护者帐户发布，这使得 PyPI 官方在删除删除恶意软件包时遇到了挑战。

Sonatype 高级软件工程师 Adam Boesch 首先发现了这些以热门电影电视节目命名的可疑 PyPI 组件。Boesch 在接受 BleepingComputer 采访时提供了发现细节：

“我在浏览数据集时对一个以 ‘wandavision’ 命名的程序包感到有点奇怪。仔细观察后，我在 PyPI 上进行了查找。在 npm 等其他生态系统中，这种情况并不罕见，那里有数百万个软件包。幸运的是，像这样的软件包很容易发现和避免。”
尽管一些软件包已经存在了好几周，但垃圾邮件发送者仍不断向 PyPI 添加新包。搜索结果显示有“ 10,000+”，但 PyPI 存储库中显示的垃圾邮件程序包要比实际数量少得多，这些伪造软件包的网页上都显示了垃圾邮件关键字，并指向电影流媒体网站，但它们的合法性令人怀疑，例如：

https://besflix[.]com/movie/XXXXX/profile.html

图源：BleepingComputer

除了通过垃圾关键词和非法视频流网站的链接，在 PyPI 上发现的垃圾软件包还包含从合法 Python 软件包中窃取的功能代码和作者信息。

例如，一个名为“ watch-army-the-dead-2021-full-online-movie-free-hd-quality”的垃圾邮件包里面就包含了作者信息，以及一些来自“ jedi-language-server”PyPI 软件包的代码。

图源：BleepingComputer

目前，PyPI 官方维护者已清理了大部分恶意软件包，但开发者在搜索下载这些包时，仍需谨慎行事，因为它们很可能包含恶意软件或其他恶意代码。

Boesch 笑着说，在使用之前，大家最好先进行检查验证。

在今年 2 月，ZDNet 就报道了 PyPI 和 GitLab 上充斥着大量垃圾邮件包，Python 软件基金会执行董事 Ewa Jodlowska 当时表示：我们的管理员正在努力解决这些垃圾邮件“，但他也补充到，由于任何人都可以在 pypi.org 上面进行发布，因为这种现象也是比较普遍的。正如本文所提到的，当恶意的与合法的软件包并存时，官方及开发人员如何识别正确的软件包就遇到了非常大的挑战。

参考链接：

• https://www.bleepingcomputer.com/news/security/spammers-flood-pypi-with-pirated-movie-links-and-bogus-packages/

• https://www.zdnet.com/article/pypi-gitlab-dealing-with-spam-attacks/