首页 > 业界 > 关键词 > Python最新资讯 > 正文

Python开发者注意!小心Pypl软件库里隐藏的垃圾软件包

2021-05-30 16:52 · 稿源:安全客公众号

声明:本文来自于微信公众号安全客(ID:anquanbobao),作者:安全客,授权站长之家转载发布。

世界上最好的语言也逃不过垃圾软件包的围堵(狗头保命)。

前不久,Python官方软件库 PyPI 遭遇黑客攻击。黑客利用垃圾软件包的形式对PyPI软件库发起洪水攻击,BT 种子以及盗版电影名命名的软件包扎堆涌向了PyPI软件库。

当然,最好的语言不可能任由垃圾软件包欺压,只不过排除“隐患”的过程有点难度。

奇葩文件名牵出垃圾软件包“洪流”

这些垃圾软件包是由Sonatype高级软件工程师 Adam Boesch发现的。Adam Boesch在审核数据集时,发现了一个以热门电视节目『Wanda vision』(旺达幻视)命名的软件包。对于Python的官方软件库来说,这样的文件名显然是个可疑的“异类”。随后,Adam Boesch在软件库检索发现了异常的情况。

图片

对一个名为"watch-army-of-the-dead-2021-full-on-line-movie-free-hd-quality"的垃圾邮件包进行分析后发现,它包含作者信息,以及来自 "jedi-language-server "PyPI包的一些代码。同时,在 PyPI 上搜索「full-online-movie-free」可以检索到大量诸如此类的软件包。

图片

原来,从几周前开始,PyPI 库便陆续出现了大量的垃圾软件包。这些软件包除了垃圾关键词和可疑非法视频流网站的链接,还存在一部分从合法Python软件包中窃取功能代码和作者信息的垃圾软件包。

目前,Python软件包索引库维护者已开始清理这些垃圾软件包。

高危预警!谨防开发环境染“毒”

窃取功能代码和作者信息对一个官方软件库来说,意味着什么不言而喻。如果有Python开发者下载并打开这些垃圾软件包中的任何一个,都可能遭遇恶意软件或其他恶意代码。开发环境染“毒”导致的威胁更是让人难以预判。

图片

早在2017年,国内某安全团队就曾披露过开发环境感染网络病毒,最终导致软件携带网络病毒并扩散的事件。近年来,盯上开发软件甚至是开发环境投递病毒的网络攻击更是屡见不鲜。

PyPI在今年2月时,就曾因一次大规模的垃圾邮件攻击,而遭到虚假Discord、Google、Robloxkeygens的洗礼。虽然PyPI 管理员会在发现可疑内容后及时处理,但由于PyPI任何人都可以发布内容的性质,很难从根本上杜绝垃圾软件包甚至是恶意软件包的出现。

写在最后

目前,PyPI 官方虽已清理了大部分垃圾软件包,但小安建议广大开发者下载使用时,仍需提高警惕谨慎行事。在使用前,较为安全的办法就是先检查验证,以避免意外中“毒”。

  • 相关推荐
  • 大家在看
  • Python官方软件Pypl遭遇垃圾软件包攻击

    援引外媒 BleepingComputer 报道,Python 的官方软件库 PyPI 正遭受黑客攻击。黑客利用垃圾软件包的形式发起洪水攻击,而这些软件包均采用来自 BT 种子或者其他在线盗版内容的电影名称命名,部分名称还包括年份、在线、免费等字样。例如“watch-army-of-the-dead-2021-full-online-movie-free-hd-quality”。Sonatype 的高级软件工程师 Adam Boesch 在 PyPI 上率先发现了以热门电视节目命名的可疑软件包。在接受 BleepingComputer

  • Python之父爆料:明年Python至少实现1倍提速

    Python 之父 Guido van Rossum 在2021年 Python 语言峰会上透露了一些有关 Python 的发展计划表示,其短期计划是在 Python3.11版本中实现至少提速1倍。按照官方的发布周期,目前处于测试阶段的 Python3.10计划于今年10月发布,Python3.11则预计于2022年发布。

  • 微软宣布已成为Python软件基金会的愿景赞助商

    自2006年以来,微软一直是Python软件基金会的赞助商之一。今天,微软宣布,它将进一步增加对PSF的捐款,成为远景赞助商。作为对PSF的15万美元财政赞助的一部分,微软将把资金集中到打包工作组,以帮助进一步改进PyPI和支持打包生态系统的开发费用。"在过去5年中,Python的迅速崛起是有据可查的,令人印象深刻。Python的崛起主要是由数据科学的发展推动的,并得益于其在脚本、网络开发、教育领域的长期应用,以及对语言的生产力和易

  • TIOBE 5 月编程语言榜单:Python 超越 Java 重回第二,Rust 崛起

    现实来看,曾经的铁三角 Java、C、C++ 如今已被彻底瓦解,犹记得2020年5月,Java 被 C 超越后,于11月份再次被 Python 短暂碾压,一路跌到了第三位,虽然后来 Java 再次追上 Python,可还是无法拯救其下滑的趋势。

  • Pyston 2.2发布:回归开源 Python实现要比网络基准快30%

    作为 Python 的高性能实现,Pyston 2.2 稳定版于今天正式发布。在 Pyston 2.2 中,开发者声称他们的实现比用于网络服务器基准的 Python 库存快 30%。这次的提速包括他们的 JIT 和属性缓存机制的工作。此外,Facebook 引入了 Cinder 作为一个新的孵化器项目,提供快速的 Python JIT 实现。虽然这个前 Dropbox 项目在 Pyston 2.0 时是闭源的,但在 Pyston 2.2 时,代码已经回归开源。Pyston 2.2 是开源的,而在这个项目上工作的开发?

  • [多图]创始人van Rossum想让Python的速度提升一倍

    30年前创建了流行的编程语言Python的Guido van Rossum概述了他的雄心壮志,要让它的速度提高一倍--解决Python与C++等更快的语言相比的一个关键弱点。核心Python(CPython)的性能不足部分地解释了为什么Python倾向于数据科学和机器学习,其中许多工作负载被移交给GPU。它在这些领域崛起的另一个原因是丰富的特定领域库,从NumPy到谷歌支持的TensorFlow机器学习框架。在本周的美国PyCon语言峰会上,van Rossum在微软拥有的GitHub上?

  • 50 万行Go代码,美国一组织从Python 2迁移到 Go

    美国教育非营利组织可汗学院(Khan Academy)方面透露,其已经用谷歌的 Go 编程语言完成了50万行代码,以取代此前用 Python2编写的后台服务器。根据介绍,可汗学院在其 Goliath 项目下实现了从 Python2到 Go 的大转变。Goliath 最初是使用 Python2实现的;从2019年开始,可汗学院逐步将其迁移到了 Go。

  • 欧洲出现新的Android手机银行木马病毒TeaBot

    周一安全机构警告一个针对Android的新木马“TeaBot”正在传播。该恶意软件窃取用户的凭证和短信以对西班牙、德国、意大利、比利时和荷兰的银行进行欺诈活动。 该恶意软件被称为 "TeaBot"(或Anatsa),据称处于发展的初始阶段。虽然TeaBot的活动从1月开始就为人所知,但更多针对金融应用程序的恶意攻击在2021年3月底开始。在5月的第一周,更严重的攻击针对来自比利时和荷兰的银行。意大利网络安全和在线欺诈预防公司Cleafy表示,"T

  • MIT研发出纳米手电筒 有望协助生产能够检测病毒的便携设备

    麻省理工学院的研究人员在一个芯片上建造了一个纳米级手电筒,他们认为有朝一日可以制造出可以作为传感器使用的手机,能够检测病毒和其他难以置信的小物体。研究人员用来设计芯片上的纳米手电筒的方法也可能被用来制造其他各种具有不同光束特性的微型手电筒,以创造出用于各种应用的设备。科学家们说,他们可以根据需要制作一个宽大的聚光灯与一束集中在一个点上的光束。几十年来,研究人员一直努力通过观察光与材料的相互作用来识

  • 微软、埃森哲和GitHub联手宣布成立绿色软件基金会

    除了专注于新服务和新功能技术实现的面向开发者的一系列发布外,微软还透露,它正在与各种组织合作,组建绿色软件基金会。作为这项工作的一部分,微软正在与众多公司联手,包括埃森哲、GitHub、ThoughtWorks和高盛等,这个非营利组织也与Linux基金会有联系。访问:天猫6·18 活动主会场 | 天猫6·18手机版 | 预售惊喜福袋京东6·18“京享红包”25日12点开始领取 最大面额高达18618元这项努力的目的是开发一个可持续的生态系统,为?

  • 科学家设计"纳米陷阱"来捕捉和清除组织中的冠状病毒

    芝加哥大学的研究人员设计了一种全新的COVID-19的潜在治疗方法:纳米粒子在体内捕捉SARS-CoV-2病毒,然后利用人体自身的免疫系统来消灭它们。这些 "纳米陷阱"通过模仿病毒感染的目标细胞吸引病毒。当病毒与纳米陷阱结合时,陷阱就会将病毒从其他细胞中封存起来,并将其作为免疫系统的目标进行消灭。从理论上讲,这些纳米陷阱也可以用于病毒的变种,从而形成一种潜在的抑制病毒的新方法。尽管该疗法仍处于早期测试阶段,但研究人员?

  • 印度男子隐瞒行程 导致香港多人感染变异新冠病毒:拘捕!

    据印度卫生部公布的最新数据,印度新冠肺炎确诊病例升至21892676例,过去24小时内新增确诊401078例,连续三天日增超40万,同时新增死亡病例4187例,累计死亡238270例。印度疫情崩溃,影响的不仅仅是自己,周边国家和地区也被严重波及,还有更可恶的据媒体报道,近日在中国香港,一名确诊的印度男子故意隐瞒行程,造成新冠病毒扩散,引发集体感染,而且还是变异的新冠病毒。针对香港出现11例的社区感染变异新冠病毒病例,香港卫生防

  • 新研究为新一代新冠病毒疫苗设计带来好消息

    据外媒报道,目前那些有效抗击了新冠肺炎的患者体内的最完整SARS-CoV-2图像正在成为人们关注的焦点。来自德克萨斯大学奥斯汀分校的研究人员近日在《科学》上描述了这一发现,这对设计下一代疫苗以抵御病毒变异或未来新出现的冠状病毒来说是一个好消息。此前的研究集中在一组抗体上,这些抗体针对新冠病毒刺突蛋白最明显的部分,被称为受体结合域(RBD)。因为RBD是刺突的一部分,它直接附着在人类细胞上从而使病毒能够感染它们,于是

  • 印度已发现3532种变异病毒 网友:这是王炸

    最近一段时间印度的新冠疫情让人揪心,每日新增超过40万,打破了美国创下的确诊病例增速纪录。然而更让大家担心的是病毒变异,现在印度方面表示已经发现了3532种变异病毒。据参考消息报道,据《印度教徒报》网站5月6日报道,印度政府当地时间周三宣布,印度在27个邦共发现3532种令人担忧的新冠变异病毒,并补充说,鉴于目前感染病例激增,第三波疫情不可避免。研究人员发现,英国变异病毒(B.1.1.7)在印度的传染性正在下降,而双?

  • 澳大利亚暂禁本国公民从印度回国:惧怕新冠变异病毒传播

    印度卫生部5月1日公布的数据显示,该国较前一日新增新冠确诊病例401993例,累计确诊19164969例;新增死亡病例3523例,累计死亡211853例。印度单日新增确诊病例连续9天超过30万例后,5月1日首次超过40万例,创该国疫情暴发以来单日最高纪录。世界卫生组织首席科学家苏米娅斯瓦米纳坦26日在接受采访时表示,印度当前报告的新冠肺炎确诊病例数和死亡病例数被严重低估”,印度的实际感染人数可能比官方报告的数字还要高出二三十倍。按?

  • 东京奥运会圣火传递出现新意外!出现新冠病毒集体感染:6人确诊

    继东京奥运会圣火传递过程中出现熄灭的情况后,现在又出现了新意外。据媒体报道,东京奥运会组织委员会宣布,在上个月在鹿儿岛县进行的东京奥运会火炬接力中,多名相关人员确认感染新冠病毒,这也是首次一个县发现多名火炬接力工作人员感染新冠病毒。东京奥运会组织委员会表示,4月27日和28日,东京奥运会火炬接力在鹿儿岛县奄美市和雾岛市进行,在负责圣火传递的交通管理相关人员中,有6人被确认感染新冠。感染的6人中,奄美市有3

  • 戴尔科技集团和i2b2 tranSMART Foundation建立“数字孪生”解决方案,为治疗新冠病毒持久性病情贡献力量

    中国 北京 - 2021 年 5 月 7 日新闻摘要· 新冠病毒持久性病情研究基于患者独特的病史和遗传学,以进行个性化健康风险评分并提出药物治疗建议· AI驱动的研究和数字孪生解决方案将为全球医院和研究中心提供支持,并有助于实现戴尔的愿景,即在 2030 年之前,利用公司技术和规模来推动 10 亿人的健康、教育和经济机遇报道全文戴尔科技集团 (NYSE:DELL) 正在帮助非营利性开源研究机构i2b2 tranSMART Foundation调动大量全球去身份识?

  • 权威机构称全球因新冠病毒实际死亡人数严重低估:与官方数据差两倍

    日前,世卫组织专家曾表示,印度当前报告的新冠肺炎确诊病例数和死亡病例数被严重低估”,实际感染人数可能比官方报告的数字还要高出20至30倍。那么在这场持续了一年多的疫情中,官方披露的因新冠病毒死亡人数与实际死亡人数一样吗?近日,就有研究机构进行了分析。来自华盛顿大学卫生计量与评估研究所(IHME)的一项最新分析估计,新冠疫情已经全世界造成近690万人死亡,而这个数字是官方记录数字的两倍多。IHME通过将基于大流行?

  • Nothing Ear 1 TWS耳塞将于6月推出

    经过数月的猜测和传闻,Carl Pei's Nothing品牌将于下月推出首款TWS耳塞。无耳1将是第一个产品的新兴科技品牌,虽然我们没有真正得到任何规格或细节。

  • 微软发出StrRAT恶意软件警告:不要点击不信任的PDF附件

    请不要贸然打开电子邮件中的 PDF 附件,除非你完全确定文件的来源以及是谁发送给你的。近日,微软的安全情报团队发现了新型恶意软件攻击,通过包含恶意的 PDF 附件进行大规模传播。这些 PDF 附件中包含了名为 StrRAT,这是一个可远程访问的木马程序,可用于窃取密码和用户凭证。除了窃取凭证甚至控制系统之外,微软研究人员还发现,这种恶意软件可以将自己伪装成伪造的勒索软件。关于该恶意软件的推文中,微软表示:“一旦系统被感

  • 热门标签

热文

  • 3 天
  • 7天