PyPI泄露：发现恶意Python包

安全专家预计问题将持续存在，恶意包含网络间谍后门的包将针对PyPI软件库上的Windows和Linux系统

小心，开发者们！ 官方Python存储库中发现恶意项目

PyPI，官方Python软件包索引，对开发者来说是一个宝藏。它拥有超过500,972个项目，5,228,535个发布版本，9,950,103个文件和770,841个用户，为Python社区开发和发布了各种软件。然而，这个宝贵的资源最近面临了一次重大安全漏洞，当ESET的网络安全专家在PyPI的存储库中发现了许多恶意Python软件包。

这些恶意软件包被发现包含定制的后门，具有网络间谍功能。这意味着什么呢？想象一下一个带有恶意意图的软件包，不仅允许未经授权的文件执行，还能够窃取敏感数据，甚至截取屏幕截图。简直是对隐私的侵犯！在某些情况下，这些软件包分发了臭名昭著的W4SP Stealer，一个用于窃取用户数据的工具，或者是一个用于窃取加密货币的剪贴板监视器。就像有人把数字特洛伊木马送到你家门口。

总共，ESET在PyPI上发现了116个恶意软件包，分布在53个项目中，而令人震惊的是，这些软件包被下载了超过10,000次。这次安全漏洞的规模凸显了在PyPI内加强安全措施的迫切性，并提醒全球Python开发者警惕。

ESET的研究员Marc-Etienne M.Léveillé揭示了攻击者用来分发这些恶意软件包的阴险策略。尽管有些软件包名称看起来与合法软件包相似，但Léveillé强调，主要的安装方法并非通过拼写错误，而是通过社会工程学手法。毫无戒备的受害者会被提示安装这些欺诈性的软件包，被那些有趣内容的承诺所吸引。就像攻击者说：“嘘！想要窥探一个全新的世界吗？”不幸的是，很多人上了这个当。

🔎 问：Python开发者可以采取哪些步骤来保护自己不受此类攻击？

• 🚗城市对州：控制机器人汽车的争夺战🤖
• 😢 总是泡汤：2023年初创公司艰难融资
• 全新的戴尔XPS笔记本电脑：好的、有争议的和人工智能好东西！😎💻🚀

作为Python开发者，当你从任何公共软件存储库安装代码时，小心谨慎非常重要。以下是您可以采取的一些措施来保护自己免受这种恶意攻击：

1. 审核代码：彻底审查您打算安装的任何软件包的代码。查找任何可疑或混淆的代码，并研究其功能。毫不犹豫地深入代码库并确保它符合您的期望。

2. 检查社区反馈：寻找其他开发者对您正在考虑的软件包的反馈和评价。如果存在任何红旗或可疑行为的报告，请小心处理或考虑其他选项。

3. 保持更新：关注与Python社区相关的安全公告和新闻。了解任何已知的漏洞或安全漏洞，并确保您拥有您的软件包的最新版本。

4. 利用软件包管理器：使用Pipenv、Poetry或Anaconda等软件包管理器自动化安装过程，并提供额外的安全层。这些工具可以帮助您管理依赖关系并将软件包固定到特定版本，减少无意中安装恶意代码的风险。

通过采取这些积极的措施，您可以加固自己的Python开发环境，减少成为这种恶意计划受害者的机会。

在他的博文中，”PyPI中一堆恶意的Python软件包”，M.Léveillé对PyPI持续受到网络攻击的滥用表达了担忧。他强调了Python开发者需保持警惕，仔细审核任何他们下载的代码。此次活动中发现的恶意软件包展示了各种技术手段，毫不遗余力地试图将恶意软件注入到毫无戒备的系统中。

ESET一直在全力减轻这次漏洞的影响，在他们发布研究结果时，大部分恶意软件包已在PyPI上下架。然而，需要认识到对PyPI的滥用威胁是持久存在的，因此在与公共软件存储库交互时要保持警惕。

为了对抗Python开发领域中的持续战斗，社区成员、软件包维护者和PyPI本身必须共同努力实施强大的安全措施。只有每个人的集体努力，Python开发者才能在不担心引入恶意代码的情况下发挥语言的威力。

🌟 未来发展和PyPI数据泄露的影响

虽然PyPI的数据泄露令人担忧，但它提醒了我们开源社区内安全的重要性。随着Python的日益流行，它成为了网络罪犯们的吸引目标。但是，这次数据泄露为Python社区提供了一个机会，让大家联合起来，加强防护措施，确保分发的软件的完整性。

未来，我们可以预期PyPI将会对安全实践重新加强关注。这次泄露引发了对新软件包提交的审查流程加强和实施自动代码分析以检测任何可疑或恶意代码的讨论。此外，PyPI的维护者们可能会采取更严格的验证程序，以防止类似事件再次发生。

对于Python开发人员而言，这次事件应该引起他们对自身安全措施的重新评估，并强调了进行彻底代码审查和谨慎软件安装的必要性。这是一个警钟，提醒我们在充满挑战的软件开发世界中，解决问题和创造创新解决方案不仅仅是唯一要关注的，还需要保护我们的数字创作免受潜在的伤害。

在我们应对不断演变的威胁环境时，保持信息灵通、主动作为，并营造一个重视安全的社区至关重要。让我们联力保证Python始终是一个安全可靠的平台。

✨ 额外阅读

要深入了解PyPI的数据泄露和相关的安全讨论，请查看以下链接：

1. 如何使用ChatGPT编写代码 – 了解ChatGPT，一种基于人工智能的工具，如何协助你编写代码并提高你的工作效率。

2. 新Linux用户可以做的7件事以更好地保护操作系统 – 学习七条对于Linux用户（包括初学者）来说都必不可少的安全实践，以保护他们的操作系统。

3. 网络安全事件对软件开发的影响 – 探索网络安全事件的广泛影响，并了解它们对软件开发领域的影响。

请记住，知识就是力量，保持信息灵通是你最强大的防御。

😄 这篇文章对你有帮助吗？请分享你的想法，传播开去！

随时分享你的观点、经验或任何有关确保Python开发生态系统安全的技巧。我们齐心协力，打造一个更安全、更可靠的软件环境。

注：本文中使用的所有图片仅供示意，不代表实际恶意软件包。

📚 参考资料

• ESET在PyPI中发现的恶意Python软件包
• Marc-Etienne M.Léveillé在PyPI中的各种恶意Python软件包

• Business
• Developer