放大/供应链攻击,例如最新的 PyPi 发现,将恶意代码插入开发人员使用的看似功能强大的软件包中。它们变得越来越普遍。 (信用:盖蒂图片社)
研究人员在 PyPi 中发现了另一组恶意包,PyPi是 Python 程序和代码库的官方和最受欢迎的存储库。那些被看似熟悉的软件包所欺骗的人可能会受到恶意软件下载或用户凭据和密码被盗的影响。
周一报告了调查结果的Check Point Research 写道,它不知道有多少人下载了这 10 个软件包,但它指出 PyPi 有 613,000 名活跃用户,其代码用于超过 390,000 个项目。通过pip命令从 PyPi 安装是启动或设置许多 Python 项目的基础步骤。 PePy是一个估计 Python 项目下载量的网站,它表明大多数恶意包都有数百次下载。
这种供应链攻击正变得越来越普遍,尤其是在支持世界范围内广泛软件的开源软件存储库中。 Python 的存储库是一个常见的目标,研究人员在2017 年 9 月发现了恶意软件包; 2021 年6 月、 7 月和11 月;和今年六月。但是在 2020 年的 RubyGems、 2021 年 12 月的 NPM以及更多的开源存储库中也发现了技巧包。