Больше пакетов PyPl взломано после фишинговой атаки
26 августа 2022 г.Мошенники обманом заставили сопровождающих пакета PyPI Python выдать свои учетные данные для входа, а затем использовали пароли для входа. и заражать пакеты вредоносным ПО, утверждают эксперты.
Эта новость подтвердилась. Член совета директоров проекта Django Адам Джонсон после того, как сам подвергся атаке, в результате которой были затронуты «сотни» пакетов.
Согласно отчету, неизвестный злоумышленник разослал фишинговые сообщения электронные письма мейнтейнерам пакетов, в которых утверждается, что им необходимо «подтвердить» себя, иначе их пакеты будут удалены с платформы. Джонсон сказал, нажав на ссылку в электронное письмо отправляло цели на «довольно убедительный» фишинговый сайт.
Сотни испорченных пакетов
Некоторые сопровождающие попались на эту удочку, говорится в отчете, предоставив мошенникам свои учетные данные. Они использовали эту информацию для захвата «нескольких сотен» пакетов, которые впоследствии были удалены с платформы. Среди вредоносных действий, которые делает этот код, — эксфильтрация компьютера конечной точки. имя домена linkedopports[.]com и скачивание троянца.
«Мы активно просматриваем отчеты о новых вредоносных версиях и обеспечиваем их удаление и восстановление учетных записей сопровождающих», — говорится в сообщении PyPI. «Мы также работаем над тем, чтобы сделать функции безопасности, такие как двухфакторная аутентификация, более распространенными в проектах на PyPI».
PyPI, крупнейший в мире репозиторий кода Python с более чем 600 000 активных пользователей, в последнее время подвергается шквалу атак. Менее месяца назад исследователи обнаружили почти десяток вредоносных пакетов, все «опечатки». Typosquatting – это метод распространения вредоносных программ, при котором вредоносный пакет имеет имя, почти идентичное подлинному, но содержит лишь небольшую опечатку, которая может заставить разработчиков загрузить и использовать этот пакет вместо подлинного.
Буквально на прошлой неделе был обнаружен еще десяток вредоносных пакетов, целью которых было украсть конфиденциальные данные, хранящиеся в браузерах, установка бэкдоров в клиенте Discord, кража токенов аутентификации и платежных данных.
.Через: BleepingComputer
Оригинал