Python Package Index (PyPI) a suspendat temporar înregistrarea utilizatorilor și crearea de proiecte noi pentru a face față unei campanii continue de malware.
PyPI este un index pentru proiectele Python care ajută dezvoltatorii să găsească și să instaleze pachete Python.
Având mii de pachete disponibile, depozitul este o țintă atractivă pentru actorii de amenințare, care adesea încarcă pachete typosquatted sau false pentru a compromite dezvoltatorii de software și a provoca atacuri potențiale de tip lanț de aprovizionare.
Activitatea de acest fel a determinat administratorii PyPI să anunțe astăzi că toate înregistrările noi de utilizatori au fost suspendate pentru a permite limitarea activității dăunătoare.
Un raport de la Checkmarx informează că actorii de amenințare au început ieri să încarce pe PyPI 365 de pachete cu nume care imită proiecte legitime.
Pachetele includ coduri malitioase în fișierul ‘setup.py’ care se execută la instalare, încercând să preia o încărcătură suplimentară de pe un server la distanță.
Pentru a evita detectarea, codul malitios este criptat folosind modulul Fernet, iar URL-ul resursei la distanță este construit dinamic atunci când este necesar.
Încărcătura finală este un furt de informații cu capacități de persistență care vizează datele stocate în browserele web, precum parole de conectare, cookie-uri și extensii de criptomonede.
Checkmarx pune la dispoziție în raportul său lista completă a intrărilor dăunătoare pe care le-au găsit, care conține numeroase variante de typosquatting pentru multe pachete legitime.
Conform unui raport de la Check Point, lista de pachete dăunătoare depășește 500 și au fost implementate în două etape. Cercetătorii spun că fiecare pachet a provenit de la conturi de întreținător unice cu nume și adrese de email distincte.
„În mod remarcabil, fiecare cont de întreținător a încărcat doar un singur pachet, indicând utilizarea automatizării în orchestrarea atacului,” explică Check Point.
Cercetătorii spun că toate intrările aveau același număr de versiune, conțineau același cod dăunător, iar numele păreau generate printr-un proces de randomizare.
Acest incident subliniază importanța ca dezvoltatorii de software și întreținătorii de pachete să utilizeze depozitele open-source pentru a verifica riguros autenticitatea și securitatea componentelor pe care le folosesc în proiectele lor.
Aceasta nu este prima dată când PyPI ia astfel de măsuri agresive pentru a-și proteja comunitatea de trimiterile dăunătoare. Cei care întrețin depozitul au luat aceeași măsură și anul trecut, pe 20 mai.
Leave a Reply