W4SP恶意软件借供应链攻击，盯上Python开发人员

近日，安全研究团队JFrog在PyPI(Python Package Index)软件库中再次发现了一批恶意软件，这些软件存在盗取信用卡信息、远程注入代码等行为，而目前这些软件已经总共被下载了多达3万次。

这种持续的攻击最初是在八月初发现的，它揭示了网络犯罪分子渗透到开源Python软件存储库Python包索引（PyPI）的阴险趋势。

35万个项目受到影响通过分析影响，Trellix 研究人员发现该漏洞存在于数千个开源和闭源软件项目中。对其余存储库运行自动检查将受影响的项目数量增加到 65%，这表明存在广泛的问题。然而，这个小样本集仅作为估算 GitHub 上所有受影响的存储库的基准。稍后，它们将通过拉取请求添加到主项目中。

然而，Trellix研究证实，在大多数情况下，攻击者可以获得代码执行，从而使这个Python漏洞更加严重。他指出，Python的问题在过去15年中呈指数级恶化。由于易受攻击的存储库的数据量异常庞大，Trellix联系了GitHub以获得额外的访问权限，结果发现包含超过500,000个使用tarfile包的GitHub存储库。TechTarget联系微软征求意见，但截至发稿时，这家软件巨头并未发表任何声明。Trellix为供应商发布了检测工具，目前为11,000个存储库提供了补丁。

对 Black Kingdom 分析表明，它存在一些bug和关键性的加密缺陷，由于使用了硬编码密钥，受害者可利用其解密文件。

CloudGuard Spectral 在 PyPI 上检测到 10 个恶意包，pypi 是 Python Package Index 的首字母简写，其实表示的是 Python 的 Packag 索引，这个也是 Python 的官方索引；

出于安全考虑，PyPI将在今年年底前强制所有项目维护人员使用双因素身份验证。在过去几年中，针对Python软件存储库的供应链攻击有所增加。威胁行为者一直在使用包含恶意软件的版本更新各种软件包。

开源安全正在经历一个加速变革的时期

调查结果还发现，男程序员的平均薪资低于女程序员：男性平均年薪为 28200 美元，而女性年薪为 32500 美元。不过这并不排除女性程序员样本较少，导致结果产生偏差的可能。

作者根据多年的终端使用经验，详细介绍了一些实用的 CLI 工具，希望它们能帮读者提高生产力。 我大部分的时间都花费在终端的使用上，我觉得有必要给大家推荐一下比较好用的终端工具。先给大家列个推荐清单，如下图。