بزرگنمایی / حملات زنجیره تامین، مانند آخرین کشف PyPi، کدهای مخرب را به بستههای نرمافزاری به ظاهر کاربردی مورد استفاده توسعهدهندگان تزریق میکنند. آنها رایج تر می شوند. (اعتبار: گتی ایماژ)
محققان مجموعه دیگری از بستههای مخرب را در PyPi، مخزن رسمی و محبوبترین مخزن برنامهها و کتابخانههای کد پایتون، کشف کردهاند. کسانی که فریب بسته های به ظاهر آشنا را می خورند ممکن است در معرض بارگیری بدافزار یا سرقت اطلاعات کاربری و رمز عبور قرار گیرند.
Check Point Research که روز دوشنبه یافتههای خود را گزارش کرد، نوشت که نمیداند چند نفر این 10 بسته را دانلود کردهاند، اما خاطرنشان کرد که PyPi 613,000 کاربر فعال دارد و کد آن در بیش از 390,000 پروژه استفاده میشود. از طریق PyPi نصب کنید pip یک گام اساسی برای شروع یا راه اندازی بسیاری از پروژه های پایتون است. PePy، سایتی که دانلودهای پروژه های پایتون را رتبه بندی می کند، نشان می دهد که اکثر بسته های مخرب صدها بار دانلود شده اند.
چنین حملات زنجیره تامین، به ویژه در میان مخازن نرم افزار منبع باز که طیف وسیعی از نرم افزارهای جهان را پشتیبانی می کنند، رایج تر می شوند. مخزن پایتون یک هدف مکرر است و محققان در سپتامبر 2017 بسته های مخرب را کشف کردند. ژوئن، ژوئیه و نوامبر 2021؛ و خرداد امسال اما بسته های ترفند در RubyGems در سال 2020، NPM در دسامبر 2021، و بسیاری از مخازن منبع باز دیگر نیز یافت شد.
خواندن 5 پاراگراف باقی مانده | نظرات