Dün yakalanan bir kimlik avı kampanyası, PyPI kayıt defterinde yayınlanan Python paketlerinin bakımcılarını hedef aldı.
Python paketleri ‘exotel’ ve ‘spam’, saldırganların kimlik avı e-postasına düşen bakım görevlilerinin hesaplarını başarıyla ele geçirmesinin ardından kötü amaçlı yazılımlarla dolu olduğu görülen yüzlerce paket arasında yer alıyor.
Kimlik avı kampanyası, PyPI sağlayıcılarını hedefliyor
PyPI sicilinin yöneticileri dün, Django proje yönetim kurulu üyesi Adam Johnson’ın ardından bir kimlik avı e-posta kampanyasının aktif olarak PyPI bakımcılarını hedef aldığını doğruladı. rapor edildi şüpheli bir e-posta almak.
E-posta, paketlerini PyPI’de yayınlayan geliştiricileri zorunlu bir “doğrulama” sürecinden geçmeye veya paketlerinin PyPI kayıt defterinden silinme riskini almaya çağırıyor:
“Kimlik avı sitesi oldukça inandırıcı görünüyor” açıkladı Johnson.
“Ama olduğu gibi Google Siteler, sol altta kayan bir ‘bilgi’ düğmesi var. Buna tıklamak, siteyi bir kimlik avı saldırısı olarak bildirmenize olanak tanır, ben de bunu yaptım.”
PyPI, güvenliği ihlal edilmiş paketleri tanımlar
Ne yazık ki, bazı geliştiriciler kimlik avı e-postalarına kandı ve kimlik bilgilerini saldırganın web sayfasına girerek, yarattıklarının ele geçirilmesine ve kötü amaçlı yazılımlarla bağlanmasına yol açtı.
Paketlerin ele geçirilmiş sürümlerinin listesi arasında ‘spam’ (sürüm 2.0.2 ve 4.0.2) ve ‘exotel’ (sürüm 0.1.6) bulunur. Bu sürümler, BleepingComputer tarafından onaylandığı gibi dün PyPI’den kaldırıldı.
PyPI yöneticileri, kalıpla eşleşen “birkaç yüz yazım hatası” tanımlayıp kaldırdıklarını da ayrıca temin etti.
Ele geçirilen sürümlere eklenen kötü amaçlı kod, kullanıcının bilgisayar adını etki alanına sızdırdı. bağlantılı fırsatlar[.]com ve daha fazla indirildi ve bir truva atı başlattı BleepingComputer’ın aynı yasa dışı etki alanına istekte bulunduğunu gördü.
PyPI, “Yeni kötü amaçlı yayınların raporlarını aktif olarak inceliyoruz ve bunların kaldırıldığından ve bakım hesaplarının geri yüklendiğinden emin oluyoruz” diyor.
“Ayrıca 2FA gibi güvenlik özelliklerini PyPI üzerindeki projelerde daha yaygın hale getirmek için çalışıyoruz.”
Bununla birlikte, kayıt yöneticileri, PyPI hesap kimlik bilgilerini sağlamadan önce sayfanın URL’sini kontrol etmek gibi, kendilerini bu tür kimlik avı saldırılarından korumak için atılabilecek bir dizi adımı paylaştılar:
Bu gelişme aşağıdaki May’in popüler PyPI kitaplığı ‘ctx’ kaçırması PyPI yöneticilerini harekete geçiren iki faktörlü kimlik doğrulamayı zorunlu kıl kritik projelerin sahipleri için.
Açık kaynaklı yazılım bileşenlerini içeren tekrarlanan kötü amaçlı yazılım olayları ve saldırıları, kayıt defteri yöneticilerini platformlarında güvenliği artırmaya zorladı. Projelerini geliştirmenin yanı sıra güvence altına almanın getirdiği ek yükün, bir açık kaynaklı yazılım geliştiricisinin beklentileriyle ne kadar uyumlu olacağı henüz görülmedi.