The Hacker News

Legacy Python Bootstrap Scripts Create Domain-Takeover Risk in Multiple PyPI Packages

The disclosure comes as HelixGuard discovered a malicious package in PyPI named "spellcheckers" that claims to be a tool for ...
腾讯网

遗留Python包中的漏洞代码可通过域名劫持攻击Python包索引

遗留代码中的隐藏漏洞往往会给现代开发环境带来未知风险。近期Python生态系统中就暴露出这样一个问题:与zc.buildout工具相关的过时引导脚本使用户面临域名劫持攻击风险。 这些用于自动化安装包依赖项的脚本中,硬编码了已脱离原维护者控制的外部域名引用。问题核心在于这些脚本会尝试从python-distribute ...