网络安全研究人员再次发现潜伏在Python官方存储库 PyPI 中的恶意包。据 DevOps 专家 JFrog 的安全研究团队估计，这 8 个恶意 Python 包被下载了超过 30,000 次。

研究人员的分析表明，受污染的软件包旨在嗅探信用卡信息，这些信息通常由一些流行的网络浏览器(包括Chrome和Edge)自动保存。

“在 PyPI 等流行存储库中不断发现恶意软件包是一个令人担忧的趋势，可能导致广泛的供应链攻击。JFrog 的安全首席技术官 Asaf Karas 表示，攻击者能够使用简单的混淆技术来引入恶意软件，这意味着开发人员必须保持警惕。

在收到 JFrog 警报后，PyPI 已清除了这些包。

据 JFrog 称，除了窃取信用卡详细信息外，这些包裹还抓取了Discord消息平台的令牌，可用于冒充用户。

PyPI 一直处于使用恶意包毒害存储库的多个活动的接收端。今年 6 月初，PyPI 清除了六个包含加密恶意软件的域名抢注包，而在此之前一个月，存储库中充斥着垃圾邮件包。

事实上，最近的一项研究表明，PyPI中几乎一半的包都有一个或多个安全问题。

研究人员认为，PyPI 和其他公共软件存储库中缺乏节制和自动化安全控制，这使得威胁行为者注入恶意代码变得相当简单。

JFrog 建议开发人员必须集成预防措施，例如在其CI/CD 管道中验证库签名，以及扫描可疑代码的工具。

“这是一个系统性威胁，需要由软件存储库的维护者和开发人员在多个层面积极解决，”Karas 认为。

Mayank Sharma 在 Linux 上有近 20 年的写作和报告经验，他希望每个人都认为他是TechRadar Pro在该主题上的专家。当然，他对其他计算主题也同样感兴趣，尤其是网络安全、云、容器和编码。