專門研發開源軟體供應鏈管理平臺的Sonatype在本周警告,Python專案的官方第三方軟體儲存庫Python Package Index(PyPI)被嵌入了多個惡意的軟體包,內含挖礦程式,企圖利用開發者的機器資源來挖礦,目前確定至少有6個惡意軟體包,總下載量接近5,000次。

根據Sonatype的調查,這6個軟體包都是由同一個暱稱為nedog123的作者所張貼,nedog還使用其他的別名,包括Marat Nedogimov與maratoff。最早的一個是在今年4月出版,它們分別是maratlib、maratlib1、matplatlib-plus、mllearnlib、mplatlib與learninglib。其中,mplatlib與matplatlib-plus企圖仿冒Python合法繪圖軟體matplotlib的名稱,當開發者粗心大意輸錯名稱時,就會讓自家伺服器淪為挖礦機器。

當開發者不小心安裝了惡意軟體包之後,它會進一步下載可挖掘UBIQ的Ubqminer,或是開源的GPU挖礦程式T-Rex。

Sonatype認為,此一發現再度證實開發人員已成為駭客的目標,包括npm、Nash與PyPI都成為駭客入侵的標的,且相信這股趨勢將會持續發展。Sonatype已將惡意軟體包的相關資料,提供給Python專案。

熱門新聞

Advertisement