سیستم PyPI که از آن به عنوان فهرست رسمی مجموعه پایتون یاد می‌شود در حال حاضر 500 هزار و 972 پروژه، 5.2 میلیون نسخه، 9.9 میلیون فایل و بیش از 770 هزار کاربر را شامل می‌شود. فهرست PyPI به کاربران کمک می‌کند تا نرم افزارهای توسعه یافته و منتشر شده توسط جامعه پایتون را شناسایی و نصب کنند و همچنین در قالب یک مخزن جامع مورد استفاده قرار می‌گیرد تا توسعه دهندگان بتوانند نرم افزارهای خود را در آن توزیع کنند.

مرکز توسعه محصولات امنیت سایبری ESET به تازگی یک سری پروژه‌های مخرب پایتون مرتبط با PyPI را شناسایی کرده است که هر کدام از آنها یک درب پشتی سفارشی شده حاوی عملکرد جاسوسی سایبری را شامل می‌شوند. این کدهای مخرب به گونه‌ای طراحی شده‌اند که امکان اجرای فایل و حذف فایل‌های مورد نظر را فراهم می‌کنند و حتی در سناریوهای خاص می‌توانند امکان گرفتن اسکرین‌شات از صفحه نمایش کاربر را فراهم کنند. شرکت ESET همچنین گزارش داد که در برخی موارد یکی از انواع این کدهای مخرب که با نام W4SP Stealer شناخته می‌شود و برای جمع آوری داده‌های کاربران طراحی شده است، برای سرقت ارز دیجیتال مورد استفاده قرار می‌گیرد.

کارشناسان امنیتی اعلام کردند در مجموع 116 بسته مخرب در PyPI در 53 پروژه مربوط به پایتون آپلود شده است که بیش از 10 هزار بار توسط کاربران دانلود شده و مورد استفاده قرار می‌گیرد.

به گفته یکی از مدیران ارشد ESET، برخی از نام‌های بسته‌های مخرب شبیه به بسته‌های قانونی توزیع می‌شوند و با این وجود راه اصلی نصب آنها توسط قربانیان احتمالی از طریق مهندسی اجتماعی صورت می‌گیرد که در اصل کاربران برای در اختیار گرفتن بسته‌های جالب، کلیک می‌کنند.

منبع: zdnet.com
ترجمه: همکاران سیستم