Python官方軟件包存儲庫遇到安全危機的示例分析

小編給大家分享一下Python官方軟件包存儲庫遇到安全危機的示例分析，希望大家閱讀完這篇文章之后都有所收獲，下面讓我們一起去探討吧！

相信下載并使用開源軟件包一定是每個開發者的必備技能，畢竟站在巨人的肩膀上看風景才能看得最遠，然而，你使用的開源代碼一定是安全的嗎？

近日，一名安全研究人員發現，很多在Python官方軟件包存儲庫（PyPI）上下載了大約5,000次的軟件竟然是假冒軟件！同時這些假冒軟件包還暗含秘密代碼，能在被感染機器上安裝加密軟件。

打錯一個字母，私人計算機竟一不小心稱為”礦機“？

來自安全公司Sonatype的研究員Ax Sharma報告說，在PyPI存儲庫中，可用的惡意軟件包泛濫。這些惡意軟件包的名稱通常模仿了那些已經可用的、合法的、而且被廣泛使用的軟件包的名稱。

因此當用戶不小心輸入錯誤名稱，例如將合法且流行的包matplotlib的名稱輸入為“mplatlib”或“maratlib”而不是時，就成功落入了所謂typosquatting attacks（域名搶注攻擊）的圈套。

Sharma發現了六個會偷偷在用戶計算機上安裝加密挖礦軟件的軟件包，這些軟件不僅會使用受害者被感染的計算機來挖礦，還會將挖礦所得秘密存入攻擊者的錢包。所有這六個軟件都是由PyPI用戶名nedog123的人發布的，最早的發布時間是今年4月份。包名稱和下載號分別是：

maratlib：2,371

maratlib1：379

matplatlib-plus：913

mllearnlib：305

mplatlib：318

learninglib：626

這些包的名稱與許多被廣泛使用的軟件包相似但又不完全一樣，用戶很容易被”忽悠“。包中的惡意代碼藏在每個包的setup.py文件中，這些代碼會導致受感染的計算機使用ubqminer或T-Rex加密礦工來挖掘數字貨幣并將其存入以下地址：0x510aec7f266557b7de753231820571b13eb31b57。

垃圾軟件泛濫，擦亮眼睛最重要

PyPI，全稱是:Python Package Index，它是Python官方的第三方庫的倉庫，所有人都可以下載第三方庫或上傳自己開發的庫到PyPI。因此在PyPI上利用垃圾軟件包發起攻擊的事件屢見不鮮。

五月份就有報道稱，有黑客通過發布垃圾軟件包發起洪水攻擊，這些軟件包的名稱多采用來自BT種子或者其他在線盜版內容的電影名稱命名，甚至名稱中還包含年份、在線、免費等字樣。例如“watch-army-of-the-dead-2021-full-online-movie-free-hd-quality”。

經調查得知，這些軟件包不完全是垃圾軟件，為了進一步迷惑用戶，它們會從合法Python軟件包中竊取的功能代碼和作者信息。例如研究者一個名為"watch-army-of-the-dead-2021-full-on-line-movie-free-hd-quality"的垃圾郵件包就包含了作者信息以及來自"jedi- language-server"PyPI包的一些代碼。

PyPI經常被濫用的事實眾所周知，其中最慘痛的教訓發生在2016年，有一名大學生欺騙了17,000名程序員運行他發布的粗略腳本。

這項令人大開眼界的研究是由漢堡大學學生Nikolai Philipp Tschacher進行的，他為了寫畢業論文，在PyPI跟眾多程序員開了一個大玩笑，他使用了“域名搶注”攻擊的變體，首先在PyPI、RubyGems和NPM（分別是Python、Ruby和JavaScript編程語言的開發人員的社區網站）上確定了214個下載最廣泛的包。然后，他將他的代碼上傳到這些站點，并為它們提供了與214個軟件包非常相似的名稱。

Tschacher的攻擊并非惡意的，他的腳本也會為計算機提供一個警告，通知開發人員他們可能無意中安裝了錯誤的軟件包。但在此之前，該代碼向大學計算機發送了一個Web請求，以便他可以跟蹤他的冒牌代碼被執行了多少次以及是否獲得了管理權限。

由于Tschacher的行為是依賴于混淆，而不是徹頭徹尾的欺騙，來誘使人們安裝他的冒牌軟件，因此目前尚不清楚該實驗是否違反了道德甚至法律界限。盡管如此，Tschacher的實驗所傳授的教訓還是值得我們思考的。

其實這些攻擊是很低級的，同時也是很簡單的，開源代碼本身就存在風險，因此建議各位開發者在下載并使用開源代碼時，謹慎地對代碼進行甄別，尤其是你的計算機資源非常重要且私密程度很高時，更要多加防范。

看完了這篇文章，相信你對“Python官方軟件包存儲庫遇到安全危機的示例分析”有了一定的了解，如果想了解更多相關知識，歡迎關注億速云行業資訊頻道，感謝各位的閱讀！