Kaip mato BleepingComputer, oficiali Python programinės įrangos paketų saugykla PyPI yra pilna šlamšto paketų.
Šie paketai pavadinti įvairių filmų vardais tokiu stiliumi, kuris dažniausiai siejamas su torrent ir warez svetainėmis, kuriose talpinamas piratinis turinys.
Kiekvienas iš šių paketų yra paskelbtas unikalios pseudonimo administratoriaus paskyros, todėl PyPI sunku vienu metu pašalinti nepageidaujamo pašto paketus ir paskyras.
PyPI yra užtvindytas šiukšlių paketais
PyPI yra užtvindytas šlamšto paketais, pavadintais populiarių filmų vardais, paprastai susijusiais su torrent arba „warez“ svetainėmis, teikiančiomis piratinius atsisiuntimus: ver- (filmo pavadinimas) -2021-full-online-movie-free-hd -...
Šis atradimas paaiškėjo, kai Sonatype vyresnysis programinės įrangos inžinierius Adamas Boeschas tikrino duomenų rinkinį ir atrado juokingai skambantį PyPI komponentą, pavadintą populiarios televizijos komedijos vardu.
„Pažiūrėjau į duomenų rinkinį ir supratau“ wandavision „Kas yra šiek tiek keista paketo pavadinimui. '
„Pažiūrėjęs atidžiau, radau tą paketą ir peržiūrėjau PyPI, nes netikėjau“, – interviu „BleepingComputer“ sakė Boeschas.
PyPI saugykla jau keletą savaičių buvo užtvindyta šiukšlių paketais.
Šaltinis: BleepingComputer
Nors kai kurie iš šių paketų yra kelių savaičių senumo, „BleepingComputer“ pastebėjo, kad šiukšlių siuntėjai ir toliau prideda naujų paketų į PyPI, vos prieš valandą.
Paieškos rezultatų skaičius „10 000+“ gali būti netikslus, nes pastebėjome, kad tikrasis PyPI saugykloje rodomų šiukšlių paketų skaičius buvo daug mažesnis.
Šių netikrų paketų tinklalapyje yra šlamšto raktažodžių ir nuorodų į filmų srautinio perdavimo svetaines, nors jų teisėtumas ir teisėtumas yra abejotinas, pavyzdžiui:
https: // besflix[.]it / movie / XXXXX / profile.html
Žemiau pateikiamas daugelio paketų, išleistų maždaug prieš valandą šio rašymo metu, pavyzdys:
Šių dienų rašymo metu šlamšto siuntėjai ir toliau užplūsta PyPI.
Šaltinis: BleepingComputer
„BleepingComputer“ taip pat pažymėjo, kad kiekvieną iš šių paketų paskelbė atskira autoriaus (prižiūrėtojo) paskyra, naudojant pseudonimą, todėl PyPI administratoriams greičiausiai būtų sunku pašalinti šiuos paketus.
Kaip pranešė ZDNet .
Tuo metu „Python Software Foundation“ vykdomoji direktorė Ewa Jodlowska „ZDNet“ sakė, kad „PyPI“ administratoriai stengėsi kovoti su šlamšto ataka, tačiau dėl pypi.org , bet kas galėjo publikuoti saugykloje ir tokie įvykiai buvo dažni.
Paketuose yra kodas iš teisėtų PyPI komponentų
Šiuose paketuose yra ne tik šlamšto raktinių žodžių ir nuorodų į beveik vaizdo įrašų srautinio perdavimo svetaines, bet ir veikiančių kodų failų ir autoriaus informacijos, paimtos iš teisėtų PyPI paketų.
Pavyzdžiui, „BleepingComputer“ pastebėjo, kad šlamšto pakete „watch-army-of-the-dead-2021-full-online-movie-free-hd-quality“ buvo autoriaus informacija ir teisėtas PyPI paketo kodas“, jedi kalbos serveris . '
PyPI šlamšto paketų viduje yra kodas, pasiskolintas iš tikrų komponentų
Šaltinis: BleepingComputer
Kaip anksčiau pranešė „BleepingComputer“, užpuolikai sujungė teisėtą paketo kodą su netikrais ar kenkėjiškais paketais, kad užmaskuotų savo veiksmus ir aptiktų šiuos paketus būtų šiek tiek sudėtingesnis.
„Tai nėra neįprasta kitose ekosistemose, tokiose kaip npm, kur yra milijonai pakuočių. Laimei, tokius paketus gana lengva aptikti ir jų išvengti.
„Visada verta ištirti pakuotę prieš naudojant. Jei atrodo, kad kažkas neveikia, yra priežastis“, – šypsojosi Boeschas.
Pastaraisiais mėnesiais suaktyvėjo atakos prieš atvirojo kodo ekosistemas, tokias kaip npm, RubyGems ir PyPI.
Grėsmių autoriai buvo sugauti užtvindę programinės įrangos saugyklas kenkėjiškomis programomis, supainioję priklausomybę kenkėjiškomis imitacijomis arba tiesiog budinčioji pakuotė paskleisti savo žinią.
Dėl šios priežasties šių saugyklų apsauga tapo apgamų lenktynėmis tarp grėsmės subjektų ir saugyklų prižiūrėtojų.
„BleepingComputer“ susisiekė su PyPI dėl komentaro prieš paskelbimą ir laukiame jų atsakymo.
Ką tu manai?
