本周早些时候,两个包含恶意代码的Python库已从Python第三方软件包官方存储库Python Package Index (PyPI)中删除 。
这是许多现代软件开发社区所面临的问题的最新化身,这对所有依赖开源软件的开发人员提出了一个重要问题:如何使人们能够将自己的代码贡献给通用存储库以供重用,而没有那些回购成为攻击的载体?
总的来说,作为开放源代码项目(如Python)运行的语言的官方第三方库是安全的。 但是,如果未经检查,则库的恶意版本可以Swift传播。 而且,大多数这样的语言存储库都由志愿者监督,这一事实意味着,只有如此多的目光注视着监视者,而捐款并不一定总能得到所需的审查。
本周从PyPI删除的两个恶意软件包使用了一种称为“ typo squatting”的技巧,即选择与常用软件包足够相似的名称以引起注意,如果有人误输入了预期的名称,可能会导致意外安装。 试图伪装成dateutil
和jellyfish
软件包(分别用于操纵Python datetime对象和对字符串执行近似匹配),这些恶意软件包被命名为python-dateutil
和jeIlyfish
(用大写字母I代替第一个小写字母L)。
安装后, python-dateutil
和jeIlyfish
行为与原始行为完全相同,只是试图从开发人员那里窃取个人数据。 dateutil
团队的开发人员Paul Ganssle 告诉ZDNet ,攻击的可能原因是弄清楚受害者从事的项目,以便随后对这些项目发起攻击。
Python库通常分为两个阵营:构成Python运行时附带的标准库的模块,以及托管在PyPI上的第三方程序包。 尽管对标准库中的模块进行了仔细检查和严格审查,但PyPI在设计上更加开放,从而允许Python用户社区自由贡献软件包以供重用。
以前在PyPI上发现了恶意项目。 在一种情况下,恶意软件包打错了Django框架 , Django框架是Python Web开发的主要内容。 但是问题似乎变得更加紧迫。
“作为Python安全团队(PSRT)的成员,我每周都会收到有关打字错误或恶意程序包的报告,” Python的核心开发人员Christian Heimes在Python的官方开发讨论区中说道 。 “(有趣的事实:本月有四个关于PyPI上恶意内容的电子邮件线程,而今天只是12月4日。)”
Python软件基金会已经制定了保护PyPI免受滥用的计划,但要全面推出它们需要一些时间。 今年早些时候,Python团队推出了两因素身份验证,作为上传软件包的PyPI用户的一种选择。 这为上传到PyPI的开发人员提供了一层保护,这使得劫持他们的帐户和以他们的名义上传恶意软件变得更加困难。 但这并未解决错字抢注或其他滥用公地行为。
其他举措包括寻找通过自动化来解决这些问题的方法。 Python软件基金会中负责包装的工作组已获得Facebook Research的拨款,用于创建更高级的PyPI安全功能,例如PyPI软件包的加密签名以及自动检测恶意上载(而不是费力的手动筛选)。
第三方也提供一些保护。 独立的安全公司Reversing Labs在扫描整个存储库中的可疑文件格式后发现了基于PyPI的攻击 。 但是该公司承认,这种扫描并不能代替内部审查。 该公司写道:“为大大减少托管恶意软件的可能性,此类存储库都将受益于持续的处理和更好的审核流程。”
正如Python自己的开发人员所知道的那样,最佳解决方案必须来自内部。
From: https://www.infoworld.com/article/3487701/snake-bites-beware-malicious-python-libraries.html