看起来不良 -

Ahoy,在你的repos-pypi中有恶意是最被滥用的

开源存储库可能是恶意的载体,所以在运行之前要注意。

Ahoy,在你的repos-pypi中有恶意是最被滥用的
盖蒂图片社

一名安全研究人员发现,从官方Python库下载的仿冒包中包含了在受感染机器上安装加密挖矿软件的密码,下载次数约为5000次。

安全公司Sonatype的研究员Ax Sharma说,在许多情况下,在PyPI存储库中可用的恶意软件包的名称模仿了合法的、经常被广泛使用的软件包的名称报道.所谓的typosquatting攻击成功时,目标偶然输入一个名称,如输入“mplatlib”或“maratlib”,而不是合法和流行的软件包matplotlib

Sharma表示,他发现了6个安装了加密挖矿软件的软件包,这些软件会利用受感染计算机的资源挖掘加密货币,并将其存入攻击者的钱包中。所有6个都是由使用PyPI用户名的人发布的nedog123在某些情况下,早在4月份。包和下载号码是:

  • maratlib: 2371
  • 马拉提莱布1:379
  • matplatlib-plus: 913
  • mllearnlib: 305
  • mplatlib:318
  • learninglib: 626

恶意代码包含在每个包的setup.py文件中。它会导致受感染的计算机使用ubqminer或者霸王龙Cryptominer挖掘数字货币并将其存入以下地址:0 x510aec7f266557b7de753231820571b13eb31b57

PYPI.一直一个经常虐待 存储库自2016年以来,当大学生欺骗17,000名编码器进入运行他在那里发布的粗略脚本。

并不是说PyPI被滥用的次数比其他存储库要多——去年,有成千上万的软件包被下载RubyGems安装了试图拦截比特币支付的恶意软件。两年前,有人在NPM中窃取了一个拥有200万用户的代码库。Sonatype已经追踪超过12,000个恶意NPM包自2019年以来。

人们很容易认为,这些事件中统计的相当一部分下载是自动完成的,从未导致计算机感染,但上述大学生实验的观点却并非如此。他的假冒Python模块在超过1.7万个不同的域名上被执行了4.5万多次,其中一些属于美国政府和军事组织。这种乱交从来都不是一个好主意,但它应该被严格禁止。

你必须置评。

通道Ars Technica