Hifadhi ya kifurushi cha Python PyPI (Kielelezo cha Kifurushi cha Python) kimeacha kusajili watumiaji na miradi wapya kwa muda. Sababu iliyotolewa ni kuongezeka kwa shughuli za wavamizi ambao wameanza kuchapisha vifurushi vyenye msimbo hasidi. Imebainika kuwa, kwa kuzingatia kwamba wasimamizi kadhaa walikuwa likizoni, wiki iliyopita kiasi cha miradi hasidi iliyosajiliwa ilizidi uwezo wa timu iliyobaki ya PyPI kujibu haraka. Wasanidi programu wanapanga kuunda upya baadhi ya michakato ya uthibitishaji mwishoni mwa juma, na kisha kuanza tena uwezo wa kujisajili kwenye hazina.
Kulingana na mfumo wa ufuatiliaji wa shughuli mbaya kutoka kwa Sonatype, mnamo Machi 2023, vifurushi 6933 vibaya vilipatikana kwenye orodha ya PyPI, na kwa jumla, tangu 2019, idadi ya vifurushi vilivyogunduliwa vimezidi elfu 115. Mnamo Desemba 2022, kama matokeo ya shambulio la saraka za NuGet, NPM na PyPI, uchapishaji wa vifurushi elfu 144 vilivyo na msimbo wa ulaghai na barua taka ulirekodiwa.
Vifurushi vingi hasidi vinafichwa kama maktaba maarufu kwa kutumia typosquatting (kupeana majina sawa ambayo yanatofautiana katika herufi binafsi, kwa mfano, examplepl badala ya mfano, djangoo badala ya django, pyhton badala ya chatu, n.k.) - washambuliaji hutegemea watumiaji wasio makini ambao walifanya typo au hakuona tofauti katika jina wakati wa kutafuta. Vitendo hasidi kwa kawaida hutokana na kutuma data ya siri inayopatikana kwenye mfumo wa ndani kwa sababu ya kutambua faili za kawaida zilizo na manenosiri, funguo za ufikiaji, pochi za crypto, tokeni, Vidakuzi vya kipindi na taarifa nyingine za siri.
Chanzo: opennet.ru