Linuxeden开源社区Python 包仓库 PyPI 被上传了数千恶意软件包
像 NPM、PyPI 和 RubyGems 这样的软件包管理系统近几年都被上传 过大量恶意软件包。在最近,有数千个 CuPy 的篡改版本被上传到了 PyPI。这些软件包在一天后被检测到并删除。
这次攻击可能是恶意的,也可能是出于善意的提醒。因为短时间内上传数千个软件包,这种活动会很快被注意到,此外,该软件包的恶意代码也只是向一个 IP 地址发送了一个 GET 请求。
尽管开发者通常被建议审查他们从外部库导入的任何代码,但这个建议并不总是被遵循。关于使用来自公共软件仓库组件带来的安全隐患,应该有更好的防御和警告机制。
节选自 https://linux.cn/article-13171-1.html