Мошенники обманом заставили сопровождающих пакета PyPI Python выдать свои учетные данные для входа, а затем использовали пароли для входа. и заражать пакеты вредоносным ПО, утверждают эксперты.

Эта новость подтвердилась. Член совета директоров проекта Django Адам Джонсон после того, как сам подвергся атаке, в результате которой были затронуты «сотни» пакетов.

Согласно отчету, неизвестный злоумышленник разослал фишинговые сообщения электронные письма мейнтейнерам пакетов, в которых утверждается, что им необходимо «подтвердить» себя, иначе их пакеты будут удалены с платформы. Джонсон сказал, нажав на ссылку в электронное письмо отправляло цели на «довольно убедительный» фишинговый сайт. 

Сотни испорченных пакетов

Некоторые сопровождающие попались на эту удочку, говорится в отчете, предоставив мошенникам свои учетные данные. Они использовали эту информацию для захвата «нескольких сотен» пакетов, которые впоследствии были удалены с платформы. Среди вредоносных действий, которые делает этот код, — эксфильтрация компьютера конечной точки. имя домена linkedopports[.]com и скачивание троянца.

«Мы активно просматриваем отчеты о новых вредоносных версиях и обеспечиваем их удаление и восстановление учетных записей сопровождающих», — говорится в сообщении PyPI. «Мы также работаем над тем, чтобы сделать функции безопасности, такие как двухфакторная аутентификация, более распространенными в проектах на PyPI».

Подробнее

> Обнаружены библиотеки программирования Python, скрывающие угрозы безопасности <сильный>

> Вредоносные пакеты PyPi превращают Discord в вредоносное ПО для кражи паролей

> Избавьтесь от программ-вымогателей с помощью лучшее удаление программ-вымогателей

PyPI, крупнейший в мире репозиторий кода Python с более чем 600 000 активных пользователей, в последнее время подвергается шквалу атак. Менее месяца назад исследователи обнаружили почти десяток вредоносных пакетов, все «опечатки». Typosquatting – это метод распространения вредоносных программ, при котором вредоносный пакет имеет имя, почти идентичное подлинному, но содержит лишь небольшую опечатку, которая может заставить разработчиков загрузить и использовать этот пакет вместо подлинного.

Буквально на прошлой неделе был обнаружен еще десяток вредоносных пакетов, целью которых было украсть конфиденциальные данные, хранящиеся в браузерах, установка бэкдоров в клиенте Discord, кража токенов аутентификации и платежных данных.

.

Через: BleepingComputer