Comme vous pouvez le voir sur Bleeping Computer, le référentiel officiel de packages logiciels Python, PyPI, est inondé de packages de spam. Ces packages sont nommés d’après les différents styles de films généralement associés aux torrents et aux sites «porte» qui hébergent du contenu piraté. Chacun de ces packages est publié par un compte de responsable pseudonyme unique, ce qui rend difficile pour PyPI de supprimer le package et le compte de spam à la fois.
PyPI est inondé de packages de spam
PyPI est inondé de paquets de spam nommés d’après des films populaires dans le style généralement associé aux torrents ou aux sites «usés» qui offrent des téléchargements piratés. Clock- (nom du film) -2021-full-online-movie-free-hd-…. Cette découverte a été révélée lorsque l’ingénieur logiciel senior de Sonatype, Adam Boesch, contrôlait un jeu de données et a remarqué un composant PyPI au son drôle nommé d’après un comédie télévisée populaire. « J’étais en train de parcourir l’ensemble de données et j’ai remarqué. » Wandavision « C’est un peu étrange pour un nom de package. «Quand j’ai regardé de près, je ne pouvais pas y croire, alors j’ai trouvé le paquet et je l’ai recherché sur PyPI», a déclaré Boesch à Bleeping Computer dans une interview. Les référentiels PyPI sont inondés de packages de spam depuis quelques semaines maintenant
Source : Bleeping Computer Certains de ces packages datent de quelques semaines, mais Bleeping Computer a observé que les spammeurs continuaient à ajouter de nouveaux packages à PyPI il y a environ une heure. Le nombre de résultats de recherche «10 000+» peut être inexact car nous avons constaté que le nombre réel de packages de spam affichés dans le référentiel PyPI était beaucoup plus petit. Les pages Web de ces faux paquets contiennent des mots-clés de spam et des liens vers des sites de streaming de films, malgré une légalité et une légalité suspectes, telles que : https: // besflixcom / movie / XXXXX / profile.html Voici quelques exemples de nombreux packages publiés il y a environ une heure au moment de la rédaction de cet article. Les spammeurs continuent d’inonder PyPI aujourd’hui au moment de la rédaction de cet article
Source : Bleeping Computer Bleeping Computer a également confirmé que chacun de ces packages était publié par un compte de créateur (mainteneur) distinct utilisant des pseudonymes. En février de cette année, PyPI a été inondé de faux keygens «Discord», «Google» et «Roblox» lors d’une attaque massive de spam. ZDNet.. À l’époque, Ewa Jodlowska, directrice exécutive de la Python Software Foundation, a déclaré à ZDNet que les administrateurs de PyPI travaillaient pour lutter contre les attaques de spam. pypi.org, N’importe qui pouvait publier dans le référentiel, et une telle situation était courante.
Le package contient du code d’un composant PyPI légitime
Ces packages contiennent des mots-clés de spam et des liens vers des sites de diffusion semi-vidéo, ainsi que des fichiers contenant des codes de fonction et des informations sur l’auteur qui ont été supprimés du package PyPI légitime. Par exemple, Bleeping Computer dit que le package de spam « watch-army-of-the-dead-2021-full-online-movie-free-hd-quality » contient des informations sur l’auteur et un code de package PyPI légitime. J’ai confirmé.jedi-language-server.. » À l’intérieur du package de spam PyPI se trouve du code emprunté à un composant réel
Source : Bleeping Computer Comme indiqué précédemment par Bleeping Computer, un attaquant malveillant pourrait autrement truquer ou truquer le code dans un paquet légitime. Paquet malveillant qui cache les empreintes et rend ces paquets un peu plus difficiles à détecter. «Ce n’est pas rare dans d’autres écosystèmes comme npm avec des millions de packages. Heureusement, des packages comme ceux-ci sont faciles à trouver et à éviter. » « C’est une bonne idée de rechercher le package avant de l’utiliser. Si vous pensez que quelque chose ne va pas, il y a une raison », rit Boesch. Les attaques contre les écosystèmes open source tels que npm, RubyGems et PyPI se sont intensifiées ces derniers mois. Les attaquants de la menace ont trouvé des référentiels de logiciels inondés. En conséquence, la protection de ces référentiels est devenue une compétition acharnée entre les acteurs menaçants et les responsables de la maintenance des référentiels. Bleeping Computer demande un commentaire à PyPI avant sa publication et attend sa réponse.