Python專案遭挖礦程式滲透

專門研發開源軟體供應鏈管理平臺的Sonatype在本周警告，Python專案的官方第三方軟體儲存庫Python Package Index（PyPI）被嵌入了多個惡意的軟體包，內含挖礦程式，企圖利用開發者的機器資源來挖礦，目前確定至少有6個惡意軟體包，總下載量接近5,000次。

根據Sonatype的調查，這6個軟體包都是由同一個暱稱為nedog123的作者所張貼，nedog還使用其他的別名，包括Marat Nedogimov與maratoff。最早的一個是在今年4月出版，它們分別是maratlib、maratlib1、matplatlib-plus、mllearnlib、mplatlib與learninglib。其中，mplatlib與matplatlib-plus企圖仿冒Python合法繪圖軟體matplotlib的名稱，當開發者粗心大意輸錯名稱時，就會讓自家伺服器淪為挖礦機器。

當開發者不小心安裝了惡意軟體包之後，它會進一步下載可挖掘UBIQ的Ubqminer，或是開源的GPU挖礦程式T-Rex。

Sonatype認為，此一發現再度證實開發人員已成為駭客的目標，包括npm、Nash與PyPI都成為駭客入侵的標的，且相信這股趨勢將會持續發展。Sonatype已將惡意軟體包的相關資料，提供給Python專案。