PyPI 充斥着以流行电影命名的垃圾软件包,其通常与提供盗版下载的盗版网站有关。这些软件包都是由一个独特的假名维护者账户发布的,这使得 PyPI 要一次性删除这些软件包和垃圾账户变得非常困难。除了包含垃圾关键词和视频流网站的链接外,这些软件包还包含从合法的 PyPI 软件包中提取的功能代码和作者信息,以掩盖他们的恶意行为。
近几个月来,对 npm、RubyGems 和 PyPI 等开源生态系统的攻击不断升级。恶意威胁者用各种恶意和伪造的软件包灌满了软件仓库,以传播他们的信息。这成了一场打地鼠比赛。
公开软件库或许需要改变其上传和审核机制,并引入防范垃圾邮件和防止论坛垃圾信息方面的经验。
节选自 https://linux.cn/article-13418-1.html