出品|开源中国
文|Travis
Python 官方软件库 PyPI 正被垃圾软件包所淹没。这些软件包以不同的电影或电视剧的名称命名,通常与托管盗版内容的山寨和 torrent 站有关。
这些软件包中每一个都由唯一的维护者帐户发布,这使得 PyPI 一次删除所有软件包和垃圾帐户具有挑战性。
Boesch 表示:”我在查看数据集时注意到有一个 PyPl 组件名为 wandavision(旺达与幻视),这对于一个软件包的名字来说有点奇怪。”
仔细查看,并在 PyPI 上调查了一番后,Boesch 发现了更多提供盗版下载 站相关的 PyPl 组件,其命名规则通常是「watch-(movie-name)-2021-full-on-line-movie-free-hd-」
尽管其中有一些软件包已经上架了几周时间,但垃圾软件的提交者仍在继续向 PyPI 添加更新的软件包。通过关键词搜索发现,相关的结果有 10,000+。这些伪造软件包的 页包含垃圾关键字和指向盗版电影流媒体站点的链接。
除此之外,Boesch 还观察到这些软件包中的每个软件包都是由不同的维护者所发布的,这可能会使 PyPI 管理员很难一次性移除这些软件包并封禁这些账户。
恶意行为者将合法软件包的代码与其他假的或恶意的软件包结合起来,以掩盖他们的意图,并使这些软件包的检测更具挑战性。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!