新的 Python 工具可以檢查 NPM 包是否存在清單混淆問題

近日，安全研究團隊JFrog在PyPI(Python Package Index)軟件庫中再次發現了一批惡意軟件，這些軟件存在盜取信用卡信息、遠程注入代碼等行為，而目前這些軟件已經總共被下載了多達3萬次。

這種持續的攻擊最初是在八月初發現的，它揭示了網絡犯罪分子滲透到開源Python軟件存儲庫Python包索引（PyPI）的陰險趨勢。

35萬個項目受到影響通過分析影響，Trellix 研究人員發現該漏洞存在于數千個開源和閉源軟件項目中。對其余存儲庫運行自動檢查將受影響的項目數量增加到 65%，這表明存在廣泛的問題。然而，這個小樣本集僅作為估算 GitHub 上所有受影響的存儲庫的基準。稍后，它們將通過拉取請求添加到主項目中。

然而，Trellix研究證實，在大多數情況下，攻擊者可以獲得代碼執行，從而使這個Python漏洞更加嚴重。他指出，Python的問題在過去15年中呈指數級惡化。由于易受攻擊的存儲庫的數據量異常龐大，Trellix聯系了GitHub以獲得額外的訪問權限，結果發現包含超過500,000個使用tarfile包的GitHub存儲庫。TechTarget聯系微軟征求意見，但截至發稿時，這家軟件巨頭并未發表任何聲明。Trellix為供應商發布了檢測工具，目前為11,000個存儲庫提供了補丁。

對 Black Kingdom 分析表明，它存在一些bug和關鍵性的加密缺陷，由于使用了硬編碼密鑰，受害者可利用其解密文件。

CloudGuard Spectral 在 PyPI 上檢測到 10 個惡意包，pypi 是 Python Package Index 的首字母簡寫，其實表示的是 Python 的 Packag 索引，這個也是 Python 的官方索引；

出于安全考慮，PyPI將在今年年底前強制所有項目維護人員使用雙因素身份驗證。在過去幾年中，針對Python軟件存儲庫的供應鏈攻擊有所增加。威脅行為者一直在使用包含惡意軟件的版本更新各種軟件包。

開源安全正在經歷一個加速變革的時期

調查結果還發現，男程序員的平均薪資低于女程序員：男性平均年薪為 28200 美元，而女性年薪為 32500 美元。不過這并不排除女性程序員樣本較少，導致結果產生偏差的可能。

作者根據多年的終端使用經驗，詳細介紹了一些實用的 CLI 工具，希望它們能幫讀者提高生產力。 我大部分的時間都花費在終端的使用上，我覺得有必要給大家推薦一下比較好用的終端工具。先給大家列個推薦清單，如下圖。