Спамеры наводняют репозиторий PyPI поддельными пакетами

Злоумышленники заполняют официальный репозиторий программных пакетов Python Package Index (PyPI) спам-пакетами, названными в честь форумов и сайтов с пиратским контентом. Каждый из многочисленных пакетов публикуется уникальной учетной записью, что затрудняет их удаление и эффективную борьбу со спамерскими аккаунтами.

Проблему обнаружил специалист Адам Бош (Adam Boesch) из компании Sonatype, который проводил аудит набора данных и заметил необычный компонент PyPI, названный в честь популярного телесериала.

Хотя некоторым из этих пакетов уже несколько недель, спамеры до сих пор продолжают добавлять новые пакеты в PyPI. Результаты поисковых запросов показывают свыше 10 тыс. подобных пакетов, однако, согласно изданию Bleeping Computer, настоящее количество является намного меньшим.

Web-страницы поддельных пакетов содержат ключевые слова для спама и ссылки на стриминговые сайты, законность которых вызывает сомнения. Помимо ключевых слов и ссылок пакеты также содержат файлы с функциональным кодом и сведения об авторе пакета, взятые из других легитимных пакетов PyPI. Например, пакет watch-army-of-the-dead-2021-full-online-movie-free-hd-quality содержал информацию об авторе и код из реального пакета jedi-language-server. Как предполагают эксперты, таким образом злоумышленники маскируют свой спам и стараются усложнить его обнаружение.