压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

世界上最好的語(yǔ)言也逃不過(guò)垃圾軟件包的圍堵（狗頭保命）。

前不久，Python官方軟件庫(kù) PyPI 遭遇黑客攻擊。黑客利用垃圾軟件包的形式對(duì)PyPI軟件庫(kù)發(fā)起洪水攻擊，BT 種子以及盜版電影名命名的軟件包扎堆涌向了PyPI軟件庫(kù)。

當(dāng)然，最好的語(yǔ)言不可能任由垃圾軟件包欺壓，只不過(guò)排除“隱患”的過(guò)程有點(diǎn)難度。

這些垃圾軟件包是由Sonatype高級(jí)軟件工程師 Adam Boesch發(fā)現(xiàn)的。Adam Boesch在審核數(shù)據(jù)集時(shí)，發(fā)現(xiàn)了一個(gè)以熱門電視節(jié)目『Wanda vision』（旺達(dá)幻視）命名的軟件包。對(duì)于Python的官方軟件庫(kù)來(lái)說(shuō)，這樣的文件名顯然是個(gè)可疑的“異類”。隨后，Adam Boesch在軟件庫(kù)檢索發(fā)現(xiàn)了異常的情況。

對(duì)一個(gè)名為”watch-army-of-the-dead-2021-full-on-line-movie-free-hd-quality”的垃圾郵件包進(jìn)行分析后發(fā)現(xiàn)，它包含作者信息，以及來(lái)自 “jedi-language-server “PyPI包的一些代碼。同時(shí)，在 PyPI 上搜索「full-online-movie-free」可以檢索到大量諸如此類的軟件包。

原來(lái)，從幾周前開(kāi)始，PyPI 庫(kù)便陸續(xù)出現(xiàn)了大量的垃圾軟件包。這些軟件包除了垃圾關(guān)鍵詞和可疑非法視頻流網(wǎng)站的鏈接，還存在一部分從合法Python軟件包中竊取功能代碼和作者信息的垃圾軟件包。

目前，Python軟件包索引庫(kù)維護(hù)者已開(kāi)始清理這些垃圾軟件包。

竊取功能代碼和作者信息對(duì)一個(gè)官方軟件庫(kù)來(lái)說(shuō)，意味著什么不言而喻。如果有Python開(kāi)發(fā)者下載并打開(kāi)這些垃圾軟件包中的任何一個(gè)，都可能遭遇惡意軟件或其他惡意代碼。開(kāi)發(fā)環(huán)境染“毒”導(dǎo)致的威脅更是讓人難以預(yù)判。

早在2017年，國(guó)內(nèi)某安全團(tuán)隊(duì)就曾披露過(guò)開(kāi)發(fā)環(huán)境感染網(wǎng)絡(luò)病毒，最終導(dǎo)致軟件攜帶網(wǎng)絡(luò)病毒并擴(kuò)散的事件。近年來(lái)，盯上開(kāi)發(fā)軟件甚至是開(kāi)發(fā)環(huán)境投遞病毒的網(wǎng)絡(luò)攻擊更是屢見(jiàn)不鮮。

PyPI在今年2月時(shí)，就曾因一次大規(guī)模的垃圾郵件攻擊，而遭到虛假Discord、Google、Robloxkeygens的洗禮。雖然PyPI 管理員會(huì)在發(fā)現(xiàn)可疑內(nèi)容后及時(shí)處理，但由于PyPI任何人都可以發(fā)布內(nèi)容的性質(zhì)，很難從根本上杜絕垃圾軟件包甚至是惡意軟件包的出現(xiàn)。

目前，PyPI 官方雖已清理了大部分垃圾軟件包，但小安建議廣大開(kāi)發(fā)者下載使用時(shí)，仍需提高警惕謹(jǐn)慎行事。在使用前，較為安全的辦法就是先檢查驗(yàn)證，以避免意外中“毒”。

來(lái)源：安全客