Регистрация новых пользователей и проектов на Python Package Index (PyPI), репозитории Python-пакетов, была временно приостановлена на два дня – 20 и 21 мая, из-за усиленной вредоносной активности. Такое решение было вызвано перегрузкой сотрудников, часть из которых были в отпуске, и невозможностью справиться с большим числом вредоносных проектов. Теперь ограничение снято.
Повышение активности злоумышленников, занимающихся публикацией вредоносных пакетов, привело к тому, что количество зарегистрированных вредоносных проектов в репозитории превысило способности команды PyPI быстро на это реагировать.
Разработчики планируют пересмотреть процедуры проверки в течение нескольких дней, чтобы ускорить возобновление регистрации пользователей и проектов на PyPI.
Согласно статистике Sonatype, системы мониторинга вредоносной активности, только в марте 2023 года было обнаружено 6933 вредоносных пакета в каталоге PyPI, а с 2019 года число вредоносных пакетов превысило 115 тысяч. В декабре 2022 года было зафиксировано публикацию 144 тысяч пакетов с фишинговым кодом и спамом в результате атак на каталоги NuGet, NPM и PyPI.
Злоумышленники часто используют тактику тайпсквотинга, выбирая имена для вредоносных пакетов, похожие на названия популярных библиотек (например, «exampl» вместо «example», «djangoo» вместо «django», «pyhton» вместо «python»). Это позволяет проникнуть в системы невнимательных пользователей, ошибающихся при вводе или не обращающих внимание на различия в названиях. Обычно злоумышленники используют такие пакеты для отсылки конфиденциальной информации, найденной на локальной системе пользователя, включая пароли, ключи доступа, данные криптокошельков, токены, сессионные Cookie и другую важную информацию.
В декабре 2021 года администрация каталога программного обеспечения Python Package Index (PyPI) удалила три вредоносных пакета Python (aws-login0tool, dpp-client и dpp-client1234), предназначенных для извлечения переменных среды и установки троянов на компьютерные системы.
В январе 2023 года компания Fortinet обнаружила ещё три подобных пакета (colorslib, httpslib и libhttps), которые были загружены с 7 по 12 января 2023 года и также удалены из PyPI после обнаружения.
В марте 2023 года вредоносный пакет PyPI colorfool был уличен в распространении вредоносного ПО, которое консалтинговая фирма по рискам Kroll назвала вредоносным ПО «Color-Blind».
В том же месяце пакеты PyPI «microsoft-helper» и «reverse-shell», идентифицированные Sonatype, были уличены в сбрасывании похитителей информации, которые злоупотребляли Discord для кражи секретов.
Источник: securitylab.ru
