Sonatype 揭示了 PyPI 中的仿冒勒索软件威胁

Sonatype 的研究人员发现了使用仿冒域名的不法分子，强调需要检查该软件包是否真的是您要下载的软件包。

最新的软件包检测到使用“Requests”的拼写变体，这是一个通过 PyPI 提供的非常流行的 HTTP 库。在该项目中，描述指出：“Requests 是当今下载量最大的 Python 包之一，每周下载量约为 3000 万次——据 GitHub 称。Requests 目前依赖于 1,000,000 多个存储库。”

“你当然可以信任这段代码，”它补充道。

当然，除非你不小心打错了名字并得到了其他更糟糕的东西。Sonatype 给出了三个示例：requesys、requesrs和requesr，它们都包含勒索软件脚本。

研究人员着眼于这个requesys包，发现了可以覆盖 Windows 用户文件夹并开始加密文件的脚本。成功的运行会导致用户屏幕上出现一个弹出窗口，这让事情变得有点奇怪。

受感染的用户被指示加入作者的 Discord 服务器，其中自动生成的消息会显示解密密钥以解锁文件。无需付款。

所以，好消息和坏消息。Sonatype 设法找到了负责的开发人员，他坚称这些软件包只是为了好玩而开发的，而且由于没有要求或支付赎金，因此几乎是无害的。

嗯，我们不太确定是否有人会因警告其文件已加密的消息而经历令人心碎的时刻。

更令人担忧的是，开发人员还告诉 Sonatype，创建漏洞利用非常容易，这依赖于最终用户不小心敲击键盘。

根据 Sonatype 的说法，作者重新命名了该requesys软件包，“以防止更多的仿冒受害者落入勒索软件，从而有效地阻止了攻击。”

其他两个示例已从 PyPI 中删除。

该事件是一系列所谓的研究实验中的最新一起，并提醒人们以实验的名义进行其他不明智的行为，例如臭名昭​​著的将一些不确定的代码偷偷带入 Linux 的企图。

最近，即使软件供应链攻击从受害者那里获取信息，该ctx软件包在 PyPI 上也被一个声称没有恶意意图的人破坏。Nastier 仍然是ReversingLabs 在 7 月份发现的仿冒 NPM 攻击。

Sonatype 告诉The Register，PyPI 组织很快就撤下了包裹，并表示已向该组织报告了调查结果。然而，这一事件再次提醒下载软件包时要小心。拼写错误很容易，结果可能是灾难性的。