Python 警惕伪装成著名软件包的恶意模块示例分析,针对这个问题,这篇文章详细介绍了相对应的分析和解答,希望可以帮助更多想解决这个问题的小伙伴找到更简单易行的方法。
本周早些时候,两个包含恶意代码的Python第三方模块被从官方软件库PyPI中删除。这两个恶意软件包通过使用非常相似的名字来迷惑安装者。
它们伪装成dateutil和jellyfish软件包 (前者用于处理日期时间,后者用于字符串近似计算等),伪装命名为python-dateutil和jeIlyfish,如果安装包的时候并不熟悉这些模块,而且也没有看官方文档,那就非常有可能中招。
安装后, python-dateutil 和 jeIlyfish 与原始的软件包行为完全相同,但是它们会偷偷地将个人数据上传到服务器。但是正常使用的人恐怕无法发现恶意模块的这些行为。
Python库通常分为两种,一种是Python运行时自带的标准库,还有一种则是托管在PyPI上的第三方程序包,而上传第三方程序包到PyPI时,大部分程序包都不会被审核到。这就导致你进行pip安装的时候,如果不小心输错了单词,就有可能安装到恶意模块。
这引出了一个现在许多开源软件社区都非常头痛的问题:如何让人们能将自己的代码贡献到通用存储库(如PyPI),且不被不怀好意的人利用。
据说,Python软件基金会已经制定了保护PyPI免受滥用的计划,但要全面执行计划需要一些时间。此外,Python软件基金会中负责封装的工作组已经获得了Facebook Research的拨款,用于开发自动检测恶意上传第三方程序包的功能。
尽管如此,这些预防措施离上线还有很远,我们在选择使用第三方模块的时候一定要注意你的命令pip install的是不是那个真的模块,而不是一个冒牌货,这样才能将风险降至最低。
关于Python 警惕伪装成著名软件包的恶意模块示例分析问题的解答就分享到这里了,希望以上内容可以对大家有一定的帮助,如果你还有很多疑惑没有解开,可以关注亿速云行业资讯频道了解更多相关知识。
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。
