Бесплатно Экспресс-аудит сайта:

23.05.2023

PyPI борется с мошенниками и временно запрещает добавлять новых пользователей и проекты

Регистрация новых пользователей и проектов на Python Package Index ( PyPI ), репозитории Python-пакетов, была временно приостановлена на два дня - 20 и 21 мая, из-за усиленной вредоносной активности. Такое решение было вызвано перегрузкой сотрудников, часть из которых были в отпуске, и невозможностью справиться с большим числом вредоносных проектов. Теперь ограничение снято.

Повышение активности злоумышленников, занимающихся публикацией вредоносных пакетов, привело к тому, что количество зарегистрированных вредоносных проектов в репозитории превысило способности команды PyPI быстро на это реагировать.

Разработчики планируют пересмотреть процедуры проверки в течение нескольких дней, чтобы ускорить возобновление регистрации пользователей и проектов на PyPI.

Согласно статистике Sonatype, системы мониторинга вредоносной активности, только в марте 2023 года было обнаружено 6933 вредоносных пакета в каталоге PyPI, а с 2019 года число вредоносных пакетов превысило 115 тысяч. В декабре 2022 года было зафиксировано публикацию 144 тысяч пакетов с фишинговым кодом и спамом в результате атак на каталоги NuGet, NPM и PyPI.

Злоумышленники часто используют тактику тайпсквотинга, выбирая имена для вредоносных пакетов, похожие на названия популярных библиотек (например, "exampl" вместо "example", "djangoo" вместо "django", "pyhton" вместо "python"). Это позволяет проникнуть в системы невнимательных пользователей, ошибающихся при вводе или не обращающих внимание на различия в названиях. Обычно злоумышленники используют такие пакеты для отсылки конфиденциальной информации, найденной на локальной системе пользователя, включая пароли, ключи доступа, данные криптокошельков, токены, сессионные Cookie и другую важную информацию.

В декабре 2021 года администрация каталога программного обеспечения Python Package Index (PyPI) удалила три вредоносных пакета Python (aws-login0tool, dpp-client и dpp-client1234), предназначенных для извлечения переменных среды и установки троянов на компьютерные системы.

В январе 2023 года компания Fortinet обнаружила ещё три подобных пакета (colorslib, httpslib и libhttps), которые были загружены с 7 по 12 января 2023 года и также удалены из PyPI после обнаружения.

В марте 2023 года вредоносный пакет PyPI colorfool был уличен в распространении вредоносного ПО, которое консалтинговая фирма по рискам Kroll назвала вредоносным ПО «Color-Blind».

В том же месяце пакеты PyPI «microsoft-helper» и «reverse-shell», идентифицированные Sonatype, были уличены в сбрасывании похитителей информации, которые злоупотребляли Discord для кражи секретов.