PyPI 因恶意软件暂停新用户注册和项目创建

为了打击大规模恶意软件活动，第三方 Python 软件的官方存储库Python Package Index ( PyPI ) 已暂停新用户注册和项目创建。在此关键行动之前，Checkmarx 的安全研究人员发现了一系列针对毫无戒心的开发人员的恶意软件包。

根据PyPI于 2024 年 3 月 28 日 2:16 UTC 发布的官方更新，该平台正在采取主动措施“缓解持续的恶意软件上传活动”。此次暂停旨在破坏攻击者的努力并保护广大的 Python 开发者社区。

Python Package Index (PyPI) 表示，在阻止新项目创建和新用户注册约 10 个小时后已恢复服务。 PyPI 是软件供应链的关键部分，允许开发人员共享和下载有用的 Python 代码片段。

PyPI 的公告没有提供任何细节，但网络安全公司 Checkmarx 的研究人员表示，他们正在调查似乎相关的恶意软件活动。另一家安全公司 Phylum 的分析师也发表了类似的研究。 

Checkmarx 团队表示：“这是一次多阶段攻击，恶意负载旨在窃取加密钱包、浏览器中的敏感数据（cookie、扩展数据等）以及各种凭证。” 

与许多涉及软件存储库的恶意软件活动一样，PyPI 事件试图诱骗用户下载看似合法但秘密恶意的代码包。 Checkmarx 和 Phylum 的研究人员表示，攻击者使用了误植，即以一种看起来像普通软件包的方式命名文件，但可能有一个错误的字母或一个额外的字母。

在某些情况下，“只需将一根手指误放在键盘上，您的机器就会受到损害，”Phylum 说。 

Phylum 和 Checkmarx 都警告称，类似的恶意软件活动正在进行中。

Phylum 团队表示：“虽然 PyPI 快速而严厉的响应无疑有助于减轻这次攻击的影响，但仍然值得指出的是，并非所有生态系统都能如此快速有效地应对此类攻击。” 

Checkmarx 表示，该恶意软件似乎也具有持久性。当开发人员开始使用中毒的软件包时，恶意软件会悄悄执行，并且可以在系统重新启动后幸存下来。

攻击者的目标是使用流行元素的开发人员，例如Pillow（帮助软件处理图像）和 Colorama（用于文本着色）。 Checkmarx周一  发布了关于涉及 Colorama 的恶意软件活动的单独研究。

PyPI 上次暂停新用户创建是在 2023 年 12 月，原因是“恶意用户和恶意项目”激增。