援引外媒 BleepingComputer 報(bào)道，Python 的官方軟件庫(kù) PyPI 正遭受黑客攻擊。黑客利用垃圾軟件包的形式發(fā)起洪水攻擊，而這些軟件包均采用來(lái)自 BT 種子或者其他在線盜版內(nèi)容的電影名稱(chēng)命名，部分名稱(chēng)還包括年份、在線、免費(fèi)等字樣。例如“watch-army-of-the-dead-2021-full-online-movie-free-hd-quality”。

Sonatype 的高級(jí)軟件工程師 Adam Boesch 在 PyPI 上率先發(fā)現(xiàn)了以熱門(mén)電視節(jié)目命名的可疑軟件包。在接受 BleepingComputer 采訪時(shí)，他提供了進(jìn)一步的見(jiàn)解：

除了垃圾關(guān)鍵詞和非法視頻流網(wǎng)站的鏈接，在PyPI上發(fā)現(xiàn)的垃圾軟件包還包含從合法Python軟件包中竊取的功能代碼和作者信息。當(dāng)BleepingComputer發(fā)現(xiàn)一個(gè)名為 "watch-army-of-the-dead-2021-full-on-line-movie-free-hd-quality "的垃圾郵件包并對(duì)其進(jìn)行調(diào)查時(shí)，該新聞機(jī)構(gòu)發(fā)現(xiàn)它包含作者信息以及來(lái)自 "jedi- language-server "PyPI包的一些代碼。

雖然以前通過(guò)在PyPI上搜索 "full-on-line-movie-free "可以很容易地找到許多類(lèi)似的軟件包，但在撰寫(xiě)本文時(shí)，Python軟件包索引庫(kù)的維護(hù)者似乎已經(jīng)清理了大部分的垃圾郵件。然而，如果Python開(kāi)發(fā)者決定下載并打開(kāi)這些垃圾郵件中的任何一個(gè)，應(yīng)該謹(jǐn)慎行事，因?yàn)樗鼈兛赡馨瑦阂廛浖蚱渌麗阂獯a。