Python专案遭挖矿程式渗透

专门研发开源软件供应链管理平台的Sonatype在本周警告，Python专案的官方第三方软件储存库Python Package Index（PyPI）被嵌入了多个恶意的软件包，内含挖矿程式，企图利用开发者的机器资源来挖矿，目前确定至少有6个恶意软件包，总下载量接近5,000次。

根据Sonatype的调查，这6个软件包都是由同一个昵称为nedog123的作者所张贴，nedog还使用其他的别名，包括Marat Nedogimov与maratoff。最早的一个是在今年4月出版，它们分别是maratlib、maratlib1、matplatlib-plus、mllearnlib、mplatlib与learninglib。其中，mplatlib与matplatlib-plus企图仿冒Python合法绘图软件matplotlib的名称，当开发者粗心大意输错名称时，就会让自家服务器沦为挖矿机器。

当开发者不小心安装了恶意软件包之后，它会进一步下载可挖掘UBIQ的Ubqminer，或是开源的GPU挖矿程式T-Rex。

Sonatype认为，此一发现再度证实开发人员已成为骇客的目标，包括npm、Nash与PyPI都成为骇客入侵的标的，且相信这股趋势将会持续发展。Sonatype已将恶意软件包的相关资料，提供给Python专案。