放大(图片来源: Getty Images )
研究人员发现了另一种针对开源代码存储库的供应链攻击,表明该技术在过去几年中得到广泛使用,不会很快消失。
这一次,存储库是 PyPI,Python Package Index 的缩写,它是 Python 编程语言的官方软件存储库。本月早些时候,用户名为 Lolip0p 的贡献者向 PyPI 上传了三个包,标题为:colorslib、httpslib 和 libhttps。贡献者小心地将所有三个伪装成合法的包,在这种情况下,伪装成用于创建终端用户界面和线程安全连接池的库。所有三个软件包都被宣传为提供全功能的可用性。
