Поделиться
Хакеры создали целый поддельный сайт PyPI для атак на программистов на Python
Хакеры рассылали поддельные сообщения от лица администрации PyPI с предложением перепройти проверку почтового адреса. Ссылка вела на вредоносный сайт, имитирующий главный ресурс для разработчиков на Python.
Введите логин и пароль, ничего страшного в этом нет
Неизвестные злоумышленники активно пытаются заманить пользователей ключевого для разработчиков на языке Python ресурса PyPI (Python Package Index) на поддельный сайт. Основной целью злоумышленников, судя по всему, является сбор реквизитов доступа к репозиториям на PyPI.
Сайт pypi.org представляет собой централизованную платформу для разработчиков, на которой хостятся сотни тысяч различных пакетов и основные инструменты для управления ими.
Администратор PyPI Майк Фидлер (Mike Fiedler) отметил, что атака направлена не на PyPI: речь идет не о взломе, а о попытках заставить пользователей ввести логины и пароли на поддельном сайте.
«На протяжении последних нескольких дней пользователи, публиковавшие проекты на PyPI, в чьих метаданных содержались почтовые адреса, могли получить письмо с заголовком «Верификация почтового адреса [PyPI]» с адреса noreply@pypj.org», - отметил Филдер. - «Это не компрометация самого PyPI, а попытка фишинговой атаки, рассчитанная на доверие пользователей к PyPI. Почтовое сообщение предлагает им для проверки их почтового адреса пройти по ссылке, которая ведет на фишинговый сайт, внешне похожий на PyPI. Но это не он».
На поддельном сайте пользователям предлагается сразу ввести логин и пароль, причем запросы направляются на PyPI, чтобы заставить пользователей думать, будто они вошли в легитимный ресурс.
На деле, с этого момента их реквизиты доступа - уже в руках злоумышленников, которые, скорее всего, попытаются ими воспользоваться в ближайшее же время.
Вариантов дальнейшего развития событий может быть несколько: либо программные компоненты в репозитории, к которым получен таким образом доступ, будут скомпрометированы каким-либо вредоносным ПО, либо легитимные версии будут полностью заменены вредоносными пакетами.
И меры были приняты
Администраторы всамделишного PyPI не ограничились публикацией предупреждения и баннером на главной странице, но также активно пытаются нейтрализовать кампанию злоумышленников. Как отметил Фидлер, на фишинговый сайт направлены все какие можно жалобы - в том числе, регистраторам доменных имен и CDN-провайдерам. Им, в частности, направлено уведомление о нарушении копирайта. Обычно на такие вещи они реагируют оперативно.
«В данной ситуации операторы подлинного сайта PyPI вряд ли смогут сделать что-либо сверх того, что уже сделано», - полагает Дмитрий Пешков, эксперт по информационной безопасности компании SEQ. Программистам, которые используют PyPI в работе, необходимо самим предпринять меры к тому, чтобы предохранить свои репозитории от компрометации. Проблема в том, что обилие взаимозависимостей между разными программными библиотеками, открывает широкие возможности для атак на цепочку поставок, так что даже самый трудновзламываемый репозиторий в какой-то момент может оказаться скомпрометированным из-за того, что в какой-то другой, связанный с ним, подгрузили вредоносное содержимое.
Это уже не первый случай атаки на PyPI: как пишет издание Bleeping Computer, в 2024 г., в частности, платформа приостановила регистрацию новых проектов из-за активной кампании, в ходе которой злоумышленники сотнями загружали вредоносы на платформу.
А в феврале PyPI выкатил новую функцию под названием Project Archival: она позволяет фиксировать текущее состояние любого проекта с тем, чтобы потенциальные пользователи знали, что обновляться он больше не будет.
Ранее эксперт по кибербезопасности отмечали учащение атак на цепочки поставок: репозитории GitHub и NPM и их пользователи регулярно сталкиваются с попытками подгрузить в них вредоносные варианты легитимных библиотек, особенно тех, которые широко используются.
Короткая ссылка
