111
PyPI 官方库被发现混入了名字相似的恶意模块
source link: http://www.solidot.org/story?sid=53867
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
PyPI 官方库被发现混入了名字相似的恶意模块
在 Node.js 项目的包管理器 NPM 发现利用名字相似性传播的恶意程序后,Python 官方的第三方软件库 PyPI(Python Package Index)也被发现遭到了类似的攻击。攻击者上传了名字相似的恶意模块,这些恶意的软件包包含了正确的代码,但修改了安装脚本。假软件包上传的时间从 6 月一直持续的 9 月。安全研究人员有意上传了 20 多个恶意库,结果在两天时间内被下载了 7000 多次。研究人员建议 Python 和 PyPI 开发者寻找方法阻止此类的攻击。
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK