یک مهاجم یک بسته پایتون را در رجیستری PyPI (شاخص بسته پایتون) با نام requestn منتشر کرد، نامی که بسیار شبیه به کتابخانه بسیار محبوب درخواست های PyPI است. این کاربر حتی آخرین نسخه 8.0 را تگ کرده است، بنابراین این به وضوح یک حمله تایپی بود.
Trusty یک پلت فرم نظارت بر امنیت زنجیره تامین نرم افزاری رایگان است که به شما بینشی در مورد ایمنی وابستگی های منبع باز شما می دهد. Trusty به دنبال الگوهای خاصی مانند اثبات مبدأ / نگاشت منشأ منبع یک پایگاه کد به یک بسته است. فعالیت پروژه و نویسندگان آن؛ و تجزیه و تحلیل متنی / باینری پیشرفته محتویات بسته برای کشف بدافزارها، CVE ها و کدهای مخرب.
اوایل امروز متوجه شدیم که یک حساب کاربری 3 روزه به نام “Dmitry2001” بسته پایتون را در رجیستری PyPI (شاخص بسته Python) به نام منتشر کرد. requestn، نامی که بسیار شبیه PyPI بسیار محبوب است requests کتابخانه کتابخانه درخواست ها بیش از 30 میلیون بارگیری در هفته دارد. این یک کتابخانه بسیار محبوب در پایتون است که درخواست های HTTP را برای تعامل با سرویس های وب ساده می کند.
سیستم تجزیه و تحلیل تهدید Trusty که توسط Stacklok توسعه یافته بود، قادر به تفسیر آن بود requestn بسته به دلیل نزدیک بودن به محبوب، مشکوک است requests کتابخانه …
مقاله کامل لوئیس یونکال و لوک هیندز را اینجا بخوانید
