没有坏处,

喂,你的休息中有恶意——pypi是最近被滥用的

开源存储库可以是恶意的向量,所以在运行之前看起来。

喂,你的休息中有恶意——pypi是最近被滥用的
盖蒂张照片

假冒软件包从官方Python存储库下载大约5,000次包含的密码,该代码安装了在受感染的机器上安装了加密软件,这是一个安全研究员。

在Pypi存储库上可用的恶意软件包,在许多情况下使用的名称模仿合法性,经常广泛使用的包装,安全公司Sonatype的研究员Ax Sharma报道。当目标意外错误地屏蔽诸如键入“mplatlib”或“maratlib”而不是合法和流行的包装时,所谓的键盘攻击成功matplotlib.

Sharma表示,他发现了六个包装安装了加密软件,这些软件将使用受感染的计算机的资源来挖掘加密和存放在攻击者的钱包中。所有六人都由使用PYPI用户名的人发布Nedog123.在某些情况下,最早可以追溯到4月。软件包和下载编号如下:

  • 马拉塔布:2,371
  • maratlib1: 379
  • matplatlib-plus:913
  • mllearnlib:305
  • mplatlib: 318
  • 学会:626.

恶意代码包含在每个包中的每个包的setup.py文件中。它会导致感染的计算机使用ubqminer.T-REX.Cryptominer在以下地址中挖掘数字硬币并将其存入其中:0x510AEC7F266557B7DE753231820571B13EB31B57

PyPI已经一种经常滥用 存储库2016年,一名大学生骗了17000名程序员运行了他发布在那里的粗略脚本。

不是那个PYPI被滥用了任何比其他存储库都是 - 去年,包裹从中下载了数千次rubygems.安装了试图拦截比特币付款的恶意软件。两年前,有人回到了NPM中托管了200亿用户代码库。SONATYPE有追踪了超过12000个恶意NPM包自2019年以来。

认为在这些事件中计算的公平数量是自动完成的,从未导致计算机被感染的电脑,但上面联系的大学生的实验否则似乎又称。他的假冒Python模块在超过17,000个单独的域名,一些属于美国政府和军事组织的域名。这种滥交从来都不是一个好主意,但应该严格禁止前进。

你必须评论。

渠道ARS Technica