小編給大家分享一下Python官方軟件包存儲(chǔ)庫遇到安全危機(jī)的示例分析，希望大家閱讀完這篇文章之后都有所收獲，下面讓我們一起去探討吧！

成都創(chuàng)新互聯(lián)公司專注為客戶提供全方位的互聯(lián)網(wǎng)綜合服務(wù)，包含不限于成都網(wǎng)站建設(shè)、網(wǎng)站建設(shè)、源匯網(wǎng)絡(luò)推廣、成都小程序開發(fā)、源匯網(wǎng)絡(luò)營銷、源匯企業(yè)策劃、源匯品牌公關(guān)、搜索引擎seo、人物專訪、企業(yè)宣傳片、企業(yè)代運(yùn)營等，從售前售中售后，我們都將竭誠為您服務(wù)，您的肯定，是我們最大的嘉獎(jiǎng)；成都創(chuàng)新互聯(lián)公司為所有大學(xué)生創(chuàng)業(yè)者提供源匯建站搭建服務(wù)，24小時(shí)服務(wù)熱線：13518219792，官方網(wǎng)址：chinadenli.net

相信下載并使用開源軟件包一定是每個(gè)開發(fā)者的必備技能，畢竟站在巨人的肩膀上看風(fēng)景才能看得最遠(yuǎn)，然而，你使用的開源代碼一定是安全的嗎？

近日，一名安全研究人員發(fā)現(xiàn)，很多在Python官方軟件包存儲(chǔ)庫（PyPI）上下載了大約5,000次的軟件竟然是假冒軟件！同時(shí)這些假冒軟件包還暗含秘密代碼，能在被感染機(jī)器上安裝加密軟件。

打錯(cuò)一個(gè)字母，私人計(jì)算機(jī)竟一不小心稱為”礦機(jī)“？

來自安全公司Sonatype的研究員Ax Sharma報(bào)告說，在PyPI存儲(chǔ)庫中，可用的惡意軟件包泛濫。這些惡意軟件包的名稱通常模仿了那些已經(jīng)可用的、合法的、而且被廣泛使用的軟件包的名稱。

因此當(dāng)用戶不小心輸入錯(cuò)誤名稱，例如將合法且流行的包matplotlib的名稱輸入為“mplatlib”或“maratlib”而不是時(shí)，就成功落入了所謂typosquatting attacks（域名搶注攻擊）的圈套。

Sharma發(fā)現(xiàn)了六個(gè)會(huì)偷偷在用戶計(jì)算機(jī)上安裝加密挖礦軟件的軟件包，這些軟件不僅會(huì)使用受害者被感染的計(jì)算機(jī)來挖礦，還會(huì)將挖礦所得秘密存入攻擊者的錢包。所有這六個(gè)軟件都是由PyPI用戶名nedog123的人發(fā)布的，最早的發(fā)布時(shí)間是今年4月份。包名稱和下載號分別是：

maratlib：2,371

maratlib1：379

matplatlib-plus：913

mllearnlib：305

mplatlib：318

learninglib：626

這些包的名稱與許多被廣泛使用的軟件包相似但又不完全一樣，用戶很容易被”忽悠“。包中的惡意代碼藏在每個(gè)包的setup.py文件中，這些代碼會(huì)導(dǎo)致受感染的計(jì)算機(jī)使用ubqminer或T-Rex加密礦工來挖掘數(shù)字貨幣并將其存入以下地址：0x510aec7f266557b7de753231820571b13eb31b57。

垃圾軟件泛濫，擦亮眼睛最重要

PyPI，全稱是:Python Package Index，它是Python官方的第三方庫的倉庫，所有人都可以下載第三方庫或上傳自己開發(fā)的庫到PyPI。因此在PyPI上利用垃圾軟件包發(fā)起攻擊的事件屢見不鮮。

五月份就有報(bào)道稱，有黑客通過發(fā)布垃圾軟件包發(fā)起洪水攻擊，這些軟件包的名稱多采用來自BT種子或者其他在線盜版內(nèi)容的電影名稱命名，甚至名稱中還包含年份、在線、免費(fèi)等字樣。例如“watch-army-of-the-dead-2021-full-online-movie-free-hd-quality”。

經(jīng)調(diào)查得知，這些軟件包不完全是垃圾軟件，為了進(jìn)一步迷惑用戶，它們會(huì)從合法Python軟件包中竊取的功能代碼和作者信息。例如研究者一個(gè)名為"watch-army-of-the-dead-2021-full-on-line-movie-free-hd-quality"的垃圾郵件包就包含了作者信息以及來自"jedi- language-server"PyPI包的一些代碼。

PyPI經(jīng)常被濫用的事實(shí)眾所周知，其中最慘痛的教訓(xùn)發(fā)生在2016年，有一名大學(xué)生欺騙了17,000名程序員運(yùn)行他發(fā)布的粗略腳本。

這項(xiàng)令人大開眼界的研究是由漢堡大學(xué)學(xué)生Nikolai Philipp Tschacher進(jìn)行的，他為了寫畢業(yè)論文，在PyPI跟眾多程序員開了一個(gè)大玩笑，他使用了“域名搶注”攻擊的變體，首先在PyPI、RubyGems和NPM（分別是Python、Ruby和JavaScript編程語言的開發(fā)人員的社區(qū)網(wǎng)站）上確定了214個(gè)下載最廣泛的包。然后，他將他的代碼上傳到這些站點(diǎn)，并為它們提供了與214個(gè)軟件包非常相似的名稱。

Tschacher的攻擊并非惡意的，他的腳本也會(huì)為計(jì)算機(jī)提供一個(gè)警告，通知開發(fā)人員他們可能無意中安裝了錯(cuò)誤的軟件包。但在此之前，該代碼向大學(xué)計(jì)算機(jī)發(fā)送了一個(gè)Web請求，以便他可以跟蹤他的冒牌代碼被執(zhí)行了多少次以及是否獲得了管理權(quán)限。

由于Tschacher的行為是依賴于混淆，而不是徹頭徹尾的欺騙，來誘使人們安裝他的冒牌軟件，因此目前尚不清楚該實(shí)驗(yàn)是否違反了道德甚至法律界限。盡管如此，Tschacher的實(shí)驗(yàn)所傳授的教訓(xùn)還是值得我們思考的。

其實(shí)這些攻擊是很低級的，同時(shí)也是很簡單的，開源代碼本身就存在風(fēng)險(xiǎn)，因此建議各位開發(fā)者在下載并使用開源代碼時(shí)，謹(jǐn)慎地對代碼進(jìn)行甄別，尤其是你的計(jì)算機(jī)資源非常重要且私密程度很高時(shí)，更要多加防范。

看完了這篇文章，相信你對“Python官方軟件包存儲(chǔ)庫遇到安全危機(jī)的示例分析”有了一定的了解，如果想了解更多相關(guān)知識，歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道，感謝各位的閱讀！

名稱欄目：Python官方軟件包存儲(chǔ)庫遇到安全危機(jī)的示例分析
分享地址：http://chinadenli.net/article34/ihshse.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站設(shè)計(jì)、全網(wǎng)營銷推廣、軟件開發(fā)、App設(shè)計(jì)、網(wǎng)站收錄、定制開發(fā)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)