Python 開發者小心！PyPI 裡出現了大量垃圾軟體包

2021-05-24 15:00:20

據外媒 BleepingComputer 報道，官方 Python 軟體包儲存庫 PyPI 被垃圾軟體包淹沒。

這些包以不同的電影命名，其風格與存放盜版內容的盜版網站相關，如 watch-(movie-name)

-2021-full-online-movie-free-hd-...。

每一個垃圾軟體包均由一個唯一的假名維護者帳戶釋出，這給 PyPI 一次性刪除垃圾軟體包和垃圾帳戶增加了難度。

這些垃圾包由 Sonatype 高階軟體工程師 Adam Boesch 率先發現。他在稽核資料集時，發現了一個以流行的電視劇命名的 PyPI 元件。

「我在瀏覽資料集時，注意到有一個元件的名字是『Wanda vision』（旺達幻視）。軟體包起這樣的名字有點奇怪。仔細檢視後，我發現了那個包並在 PyPI 上進行查詢。這種情況在其他生態系統中並不罕見，如包含數百萬個包的 npm。幸運的是，這類包很容易發現和避免。」

從幾周前開始，PyPI 庫充斥著垃圾軟體包（圖源：BleepingComputer）

其中一些包已有數週歷史，但是垃圾包傳送者仍在繼續向 PyPI 新增新的包。這些偽造包的網頁包含垃圾關鍵詞和指向電影流網站的連結，儘管其合法性存疑。

如：https://besflix[.]com/movie/X...

除了包含垃圾關鍵詞和指向視訊流網站的連結外，這些包還包含從合法 PyPI 包中竊取的帶有功能程式碼和作者資訊的檔案。例如，垃圾軟體包「

watch-army-of-the-dead-2021-full-online-movie-free-hd-quality」包含作者資訊和來自合法 PyPI 包「jedi-language-server」的一些程式碼。

PyPI 垃圾軟體包內部存在從真實元件中竊取來的程式碼（圖源：BleepingComputer）

在 PyPI 上搜索「full-online-movie-free」可以輕鬆找到許多此類命名的軟體包，目前 Python 軟體包儲存庫的維護者似乎已清理了大部分垃圾軟體包。

但是， Python 開發人員在下載並開啟其中的任何垃圾包時還應格外謹慎，因為其中很可能包含惡意軟體或其他惡意程式碼。

把合法包中的程式碼與虛假或惡意包結合，有利於掩蓋攻擊者的蹤跡，並使這些包的檢測變得更具挑戰性。

據 ZDNet 報道，今年 2 月，PyPI 因一次大規模的垃圾郵件攻擊充斥著虛假的「Discord」、「Google」和「Roblox」keygens。

當時，Python 軟體基金會執行董事 Ewa Jodlowska 表示，PyPI 管理員正在努力解決垃圾郵件攻擊，然而，根據 pypi.org 的性質，任何人都可以向儲存庫釋出，因而這種情況很常見。

最近幾個月，對 npm、RubyGems 和 PyPI 等開源生態系統的攻擊已經升級。攻擊者利用惡意軟體、惡意依賴混淆 copycat 充斥軟體庫，進而傳播其資訊。保護這些軟體儲存庫已經變成了攻擊者和儲存庫維護者之間的打地鼠遊戲。

參考連結：

https://www.bleepingcomputer.com/news/security/spammers-flood-pypi-with-pirated-movie-links-and-bogus-packages/

https://www.tectalk.co/official-python-software-package-repository-flooded-with-spam/

技術編輯：小魔丨發自思否編輯部

公眾號：SegmentFault