Автор оригинала: Mike Driscoll.
Влагоприятный код был найден в индексе пакета Python (Pypi), самым популярным местом для обмена пакетами Python. Об этом сообщил Словацкий офис национальной безопасности, который затем взял Bleeping Computer Среди других мест (то есть Reddit ). Вектор атаки использовал TypoSquatting, который в основном кто-то загружает пакет с именем популярного пакета с ошибкой, например lmxl вместо lxml Отказ
Вы можете увидеть оригинальный отчет из Словакской национальной безопасности здесь: http://www.nbu.gov.sk/skcsirt-sa-20170909-pypi/
Я видел этот вектор, говорил о августе прошлого года в этом Блог пост Казалось, что многие люди думали мало. Интересно, что сейчас люди получают гораздо более взволнованную проблемой.
Это также напомнило мне о противоречие За стартапом называется Kite, который в основном вставил Adware/Spyware в плагины, такие как Atom, AutoComplete-Python и т. Д.
Упаковка в Python нуждается в некоторой помощи. Мне нравится, насколько лучше сейчас это было 10 лет назад, но все еще есть много вопросов.