聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
Python包的官方第三方注册表 PyPI宣布,在颁发新通知之前,暂停新用户注册和新项目上传。这一意外措施是由 PyPI 疲于应对大量涌入的恶意用户和恶意包引发的。
截止今天,PyPI 临时暂停了新用户注册和项目创建,后续将另发恢复通知。
PyPI 管理员在5月20日发布事件通知提到,“暂停在 PyPI 上注册新用户和新项目名称。上周所创建的恶意人员和恶意项目的数量超过了我们及时响应的能力,而多名 PyPI 管理员请假更是雪上加霜。”
尽管注册表管理员并未确切披露导致冻结新注册的罪魁祸首(恶意人员和项目名称),但这种预防性措施有望在找到更长久的解决方案之前阻止对手。
通知中提到,“我们在周末进行了重组,新用户和新项目注册临时暂停。”和其它开源仓库一样,PyPI 经常被滥用于分发恶意软件。2023年3月,恶意 PyPI 包 colourfool 被指分发 “Color-Blind” 恶意软件。同月,PyPI 包 “Microsoft-helper” 和 “reverse-shell” 被指释放信息窃取工具,滥用 Discord 提取机密信息。
PyPI 管理员此举可能并不会影响 Python 包的已有维护人员发布制品新版本。
Python 开发人员提醒:PyPI 木马包假冒流行库发动攻击
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~