Le référentiel officiel de packages logiciels Python inondé de spam
Le référentiel officiel de packages logiciels Python PyPI est attaqué par des acteurs de la menace qui ont commencé à l’inonder de packages de spam, selon un nouveau rapport de BleepingComputer.
Ces paquets de spam utilisent un style de dénomination qui est généralement associé aux torrents et autres contenus piratés en ligne où le nom de chaque paquet contient le titre d’un film, l’année en cours et les mots en ligne et gratuits comme cette «watch-army-of-the-dead -2021-full-online-movie-free-hd-quality ».
Ingénieur logiciel senior chez Sonatype, Adam Boesch a découvert ces paquets suspects pour la première fois lorsqu’il a trouvé un composant PyPI nommé d’après une émission de télévision populaire. Boesch a fourni un aperçu supplémentaire de sa découverte dans une interview avec BleepingComputer, en disant:
« J’étais en train de parcourir l’ensemble de données et j’ai remarqué ‘wandavision’, ce qui est un peu étrange pour un nom de paquet. En regardant de plus près, j’ai trouvé ce paquet et je l’ai recherché sur PyPI parce que je n’y croyais pas. Ce n’est pas rare dans d’autres écosystèmes comme npm , où vous avez des millions de paquets. Heureusement, des paquets comme ceux-ci sont assez faciles à repérer et à éviter. »
Paquets de spam
En plus des mots-clés de spam et des liens vers des sites de streaming vidéo illégaux, les packages de spam trouvés sur PyPI contiennent également des fichiers avec du code fonctionnel et des informations sur l’auteur volés à des packages logiciels Python légitimes.
Lorsque BleepingComputer a découvert un package de spam intitulé «watch-army-of-the-dead-2021-full-online-movie-free-hd-quality» et l’a enquêté, le média a découvert qu’il contenait des informations sur l’auteur ainsi que du code à partir du package PyPI «jedi-language-server».
Alors que de nombreux packages portant le même nom étaient faciles à trouver grâce à une recherche de « full-online-movie-free » sur PyPI, au moment de la rédaction de cet article, il semble que les responsables du référentiel Python Package Index aient nettoyé la plupart des pourriel.
Cependant, les développeurs Python à la recherche de nouveaux packages sur le référentiel doivent faire preuve de prudence s’ils décident de télécharger et d’ouvrir l’un de ces packages de spam, car ils pourraient probablement contenir des logiciels malveillants ou d’autres codes malveillants.
Sources :
- 5 astuces pour créer un compte Adsense sur YouTube
- Meilleurs services d’hébergement Windows de 2021
- Les services complets d'une agence web
- Présentation créative : comment se démarquer ?
- La fuite de Nvidia RTX 3070 Ti fournit de bonnes nouvelles sur le front de la VRAM
- The Witcher saison 2: date de sortie, distribution, photos de plateau, bande-annonce et ce que nous savons
- Imprimer 4 photos sur une page avec votre iPhone : astuces pratiques
- Comment référencer un site sur Google : Vidéo explicative des étapes à suivre
- Les 3 meilleurs conseils pour changer de forfait mobile chez Free
- Faire un collage sur Apple : astuces et conseils
- Les secrets pour avoir de magnifiques photos sur Instagram
- Les Meilleures Astuces pour un Site de Vente en Ligne Gratuit
- Devenir affilié à la CPAM : 12 conseils pratiques
- Jouez à votre PS5 et Nintendo Switch sur les écrans géants des cinémas Cineworld
- 10 astuces pour découvrir le thème WordPress d'un site en vidéo
- 10 astuces pratiques pour ouvrir php
- Choisir la meilleure application de montage photo : notre sélection
- Comment fusionner deux photos en une seule
- Les 10 meilleures façons de créer votre site sur internet
- Comment superposer deux photos gratuitement ? Astuces faciles.
- La faille de sécurité exploitée par WannaCry est toujours vivante, quatre ans plus tard
- Contrôlez la fiabilité d'un site web : Nos astuces.
- Une faille de sécurité Peloton aurait permis à quiconque d’accéder aux données des utilisateurs
- Cette maison HGTV & reg; par Sherwin-Williams, la peinture et l’apprêt est le moyen en une étape de garantir la fin des mises à jour de votre attrait extérieur: une partie de la liste Lowe pour l’innovation
- Regardez "10 Things I Hate About You", la comédie romantique culte en streaming !