世界上最好的語言也逃不過垃圾軟件包的圍堵（狗頭保命）。

前不久，Python官方軟件庫 PyPI 遭遇黑客攻擊。黑客利用垃圾軟件包的形式對PyPI軟件庫發(fā)起洪水攻擊，BT 種子以及盜版電影名命名的軟件包扎堆涌向了PyPI軟件庫。

當(dāng)然，最好的語言不可能任由垃圾軟件包欺壓，只不過排除“隱患”的過程有點(diǎn)難度。

奇葩文件名牽出垃圾軟件包“洪流”

這些垃圾軟件包是由Sonatype高級軟件工程師 Adam Boesch發(fā)現(xiàn)的。Adam Boesch在審核數(shù)據(jù)集時(shí)，發(fā)現(xiàn)了一個(gè)以熱門電視節(jié)目『Wanda vision』（旺達(dá)幻視）命名的軟件包。對于Python的官方軟件庫來說，這樣的文件名顯然是個(gè)可疑的“異類”。隨后，Adam Boesch在軟件庫檢索發(fā)現(xiàn)了異常的情況。

對一個(gè)名為”watch-army-of-the-dead-2021-full-on-line-movie-free-hd-quality”的垃圾郵件包進(jìn)行分析后發(fā)現(xiàn)，它包含作者信息，以及來自 “jedi-language-server “PyPI包的一些代碼。同時(shí)，在 PyPI 上搜索「full-online-movie-free」可以檢索到大量諸如此類的軟件包。

原來，從幾周前開始，PyPI 庫便陸續(xù)出現(xiàn)了大量的垃圾軟件包。這些軟件包除了垃圾關(guān)鍵詞和可疑非法視頻流網(wǎng)站的鏈接，還存在一部分從合法Python軟件包中竊取功能代碼和作者信息的垃圾軟件包。

目前，Python軟件包索引庫維護(hù)者已開始清理這些垃圾軟件包。

高危預(yù)警!謹(jǐn)防開發(fā)環(huán)境染“毒”

竊取功能代碼和作者信息對一個(gè)官方軟件庫來說，意味著什么不言而喻。如果有Python開發(fā)者下載并打開這些垃圾軟件包中的任何一個(gè)，都可能遭遇惡意軟件或其他惡意代碼。開發(fā)環(huán)境染“毒”導(dǎo)致的威脅更是讓人難以預(yù)判。

早在2017年，國內(nèi)某安全團(tuán)隊(duì)就曾披露過開發(fā)環(huán)境感染網(wǎng)絡(luò)病毒，最終導(dǎo)致軟件攜帶網(wǎng)絡(luò)病毒并擴(kuò)散的事件。近年來，盯上開發(fā)軟件甚至是開發(fā)環(huán)境投遞病毒的網(wǎng)絡(luò)攻擊更是屢見不鮮。

PyPI在今年2月時(shí)，就曾因一次大規(guī)模的垃圾郵件攻擊，而遭到虛假Discord、Google、Robloxkeygens的洗禮。雖然PyPI 管理員會在發(fā)現(xiàn)可疑內(nèi)容后及時(shí)處理，但由于PyPI任何人都可以發(fā)布內(nèi)容的性質(zhì)，很難從根本上杜絕垃圾軟件包甚至是惡意軟件包的出現(xiàn)。

寫在最后

目前，PyPI 官方雖已清理了大部分垃圾軟件包，但小安建議廣大開發(fā)者下載使用時(shí)，仍需提高警惕謹(jǐn)慎行事。在使用前，較為安全的辦法就是先檢查驗(yàn)證，以避免意外中“毒”。