PyPI存储库遭到自动化提交恶意软件攻击后暂停注册10小时 – 蓝点网
发布时间:2026-04-14 15:19:41 作者:玩站小弟 
我要评论
我要评论早前蓝点网提到由于 Ubuntu Snap Store 商店里近期多次出现恶意软件,尤其是针对加密货币钱包之类的恶意软件,为此 Canonical 不得不抽调人手修改流程,同时开发者提交应用不再是自动
。
早前蓝点网提到由于 Ubuntu Snap Store 商店里近期多次出现恶意软件,存储册尤其是库遭针对加密货币钱包之类的恶意软件,为此 Canonical 不得不抽调人手修改流程,到自动化点网同时开发者提交应用不再是提交停注自动化的,而是恶意需要 Canonical 工程团队的成员进行人工审核后才允许发布。
这种做法虽然很麻烦但也是软件没有办法的事情,比如 3 月 30 日知名存储库 PyPI 就遭到黑客攻击,攻击黑客使用自动化工具向 PyPI 批量提交恶意软件。后暂
PyPI 中出现恶意软件已经是时蓝个超级平常的事情,这些恶意软件一方面针对开发者进行供应链攻击,存储册另一方面也会窃取敏感信息包括加密钱包的库遭数据等。
尽管 PyPI 官方并未透露为什么暂停注册和提交软件,到自动化点网不过事后安全公司 Checkmarx 称,提交停注在关闭注册前几个小时,恶意PyPI 遭到了黑客攻击。软件
黑客当然不是 DDoS,而是利用一种被称为拼写错误的技术批量提交大量恶意软件,有些开发者安装软件时可能会拼错单词,黑客只要批量提交足够多的恶意软件包,那肯定会有些命中开发者。
研究人员分析后发现,黑客提交的恶意软件包具有以下目的:窃取加密钱包、浏览器中的敏感数据,包括 Cookie、扩展数据等和各种凭证等,这只是第一阶段攻击,黑客还是用有效的恶意负载在重启系统后依然实现持久化。
这些恶意软件可能都是自动化创建的,它们模仿流行的软件名称,PyPI 官方如果靠手动封禁账号那可能是个巨大的工程,迫于无奈只能直接暂停新用户注册以缓解问题。
此次 PyPI 暂停新用户注册超过 10 个小时,之后恢复了正常,不过接下来黑客还会继续提交更多恶意软件,所以开发者们下载安装软件时一定要谨慎。
相关文章
调酒师模拟《夜弦酒吧员工守则》现已登陆Steam2024-07-24 10:10:32编辑:柒柒 在这款游戏中,玩家需要根2026-04-14
相疑怯者带有配角光环以是没有会逝世,便跟相疑数教教员讲的“那节课体育教员有事没有上了”一样天真,事真怯者也是有血有肉的凡是人之躯。但是正在挨倒大年夜魔王之前,怯者是必定没有克没有及逝世的。而魔幻RPG2026-04-14
战无没有堪,足游《弹弹天下》组队战拆配深度剖析。正在足游《弹弹天下》中,最主流的形式便是4V4婚配形式,本日小编教您成为团战细英,组队战拆配剖析,快去看看吧!【散水共同】散水:便是散开水力对一小我。与2026-04-14
碰碰新水花,《SD敢达战役要塞》齐新天下BOSS即将去袭。齐新SD敢达足游版《SD敢达战役要塞》将延绝典范,让您体验甚么叫“心袋里的SD敢达”!远日游戏即将迎去的新天下BOSS!随小编一起去看看吧!【2026-04-14
最近最终幻想15放出了新的游戏消息,这次游戏增加了全新的支线地图和新模式,第一人称模式也将会带来不一样的游戏体验,游戏将在3月初发售,喜欢的话可以多多关注一下。SIET 宣布,由 SQUARE ENI2026-04-14
典范《王者齐国》TV动绘第3季已开播,8月18日来日诰日民圆颁布收表即将进进新的前期“蕞国攻防战”篇章,同时公布了最新预报战主艺图,一起去体会下。·《王者齐国》,是日本漫绘家本泰暂的一部漫绘做品。报告2026-04-14
最新评论