Python 官方軟件庫(kù) PyPI 正被垃圾軟件包所淹沒(méi)。這些軟件包以不同的電影或電視劇的名稱(chēng)命名，通常與托管盜版內(nèi)容的山寨和 torrent 網(wǎng)站有關(guān)。

這些軟件包中每一個(gè)都由唯一的維護(hù)者帳戶發(fā)布，這使得 PyPI 一次刪除所有軟件包和垃圾帳戶具有挑戰(zhàn)性。

當(dāng) Sonatype 的高級(jí)軟件工程師 Adam Boesch 在審核一個(gè)數(shù)據(jù)集時(shí)，注意到有一個(gè)以流行的電視劇命名的 PyPI 組件時(shí)，才發(fā)現(xiàn)了這一問(wèn)題。

Boesch 表示："我在查看數(shù)據(jù)集時(shí)注意到有一個(gè) PyPl 組件名為 wandavision(旺達(dá)與幻視)，這對(duì)于一個(gè)軟件包的名字來(lái)說(shuō)有點(diǎn)奇怪。"

仔細(xì)查看，并在 PyPI 上調(diào)查了一番后，Boesch 發(fā)現(xiàn)了更多提供盜版下載網(wǎng)站相關(guān)的 PyPl 組件，其命名規(guī)則通常是「watch-(movie-name)-2021-full-on-line-movie-free-hd-」

盡管其中有一些軟件包已經(jīng)上架了幾周時(shí)間，但垃圾軟件的提交者仍在繼續(xù)向 PyPI 添加更新的軟件包。通過(guò)關(guān)鍵詞搜索發(fā)現(xiàn)，相關(guān)的結(jié)果有 10,000+。這些偽造軟件包的網(wǎng)頁(yè)包含垃圾關(guān)鍵字和指向盜版電影流媒體站點(diǎn)的鏈接。

除此之外，Boesch 還觀察到這些軟件包中的每個(gè)軟件包都是由不同的維護(hù)者所發(fā)布的，這可能會(huì)使 PyPI 管理員很難一次性移除這些軟件包并封禁這些賬戶。

除了包含垃圾關(guān)鍵字和指向盜版視頻流媒體站點(diǎn)的鏈接以外，這些軟件包還包含帶有功能代碼和作者信息的文件，這些文件是從合法的 PyPI 軟件包中提取的。

例如，在一個(gè)發(fā)現(xiàn)的垃圾程序包中「watch-army-the-dead-2021-full-online-movie-free-hd-quality」包含了作者信息和合法 PyPI 程序包 jedi-language-server 中的一些代碼。

惡意行為者將合法軟件包的代碼與其他假的或惡意的軟件包結(jié)合起來(lái)，以掩蓋他們的意圖，并使這些軟件包的檢測(cè)更具挑戰(zhàn)性。

本文轉(zhuǎn)自O(shè)SCHINA

本文標(biāo)題：PyPI 正被大量的垃圾軟件包所淹沒(méi)

本文地址：https://www.oschina.net/news/142850/pypi-with-spam-packages