PyPI周末关闭称事件被夸大

围绕开源安全和供应链攻击的担忧气氛可能导致一个小故事变成了一个大故事。

在暂停所有新用户和包上传之后，Python包索引(PyPI)存储库将恢复并运行。许多人指出，罪魁祸首是网站上充斥着大量恶意软件包，但PyPI的一名管理员指出，并没有出现异常的泛滥，只是处理通常泛滥的人比平时少。

PyPI是Python的官方软件存储库，根据该网站的主页，为超过70万用户和超过45万个项目提供服务。它的流行不仅吸引了开发者，也吸引了黑客，他们喜欢上传恶意软件包，作为破坏供应链的第一步。

从周六下午开始，PyPI暂时停止新用户和项目注册。该网站的管理员在一份事件报告中写道:“过去一周在该指数上创建的恶意用户和恶意项目的数量超过了我们及时应对的能力，特别是在多个PyPI管理员休假的情况下。”

这一声明令整个安全社区感到惊讶，许多新闻网站报道称，该网站要么是异常恶意活动浪潮的受害者，要么是一次彻头彻尾的网络攻击。此外，研究公司Checkmarx在一篇博客中将这种情况描述为在几个开源注册表中发布大量恶意软件包的行为者上升的一部分。

但是Python软件基金会的基础设施主管Ee Durbin表示，关闭的实际情况远没有人们想象的那么严重。

他说：“这个周末只是人的能力的问题，实际上，PyPI通常有三个管理员，只有一个管理员可以处理报告，需要一个周末。”

截至5月21日晚上(UTC)， PyPI再次正常运行，其管理团队有效。至少，PyPI关闭30个小时所引发的喧嚣，部分可以用开源安全状况引发的担忧来解释。

Phylum的联合创始人兼CSO彼得·摩根说：“在过去的两年里，我们看到了攻击的数量激增，在2023年第一季度，Phylum分析了发布到PyPI、npm和Nuget等流行仓库的280万个包，其中18016个包在安装时执行可疑代码，6099个包引用了已知的恶意url, 2189个包针对特定组织。

如今，恶意软件包如此猖獗，以至于一些黑客觉得没有必要再隐藏它们了。

摩根解释说：“越来越多的攻击者意识到这是多么容易做到。它不需要任何技能。你可以从互联网上下载脚本，用它们来污染开源供应链，而且，它没有成本。你不需要花钱。你可以免费使用匿名账户。”

Morgan继续说道：“就现在的软件而言，有太多的依赖。攻击者所要做的就是在依赖链中进入一脚来控制您的计算机。所以防守者在这里有很大的劣势。攻击者只需要赢一次。”