Хакери изпращат фалшиви съобщения от името на администраторите на уебсайта PyPI, с които искат от потенциалните жертви да потвърдят отново имейл адреса си. Връзката води към злонамерен уебсайт, който имитира основния ресурс за разработчици на езика за програмиране Python.
Уебсайтът pypi.org е централизирана платформа за разработчици, която хоства стотици хиляди различни пакети и основните инструменти за тяхното управление. Възползвайки се от популярността на Python, неизвестни нападатели активно се опитват да привлекат потребители на PyPI (Python Package Index) към фалшив уебсайт.
Основната цел на атакуващите очевидно е да събират данни за достъп до хранилища в PyPI. Администраторът на PyPI Майк Фийдлър отбеляза, че атаката не е срещу PyPI, а по-скоро е опит да се подведат потребителите да въведат потребителските си имена и пароли на фалшив сайт.
„През последните няколко дни потребители, които публикуват проекти в PyPI с имейл адреси в метаданните си, може да са получили имейл с тема „Проверка на имейл адреса на [PyPI]” от noreply@pypj.org”, каза Фидлър.
„Това не е компрометиране на самия PyPI, а по-скоро опит за фишинг, който злоупотребява с доверието на потребителите в PyPI. Писмото ги моли да потвърдят имейл адреса си, като кликнат върху връзка, която ги отвежда до фишинг сайт, който изглежда като PyPI. Но не е”, допълва той.
Фалшивият сайт подканва потребителите незабавно да въведат потребителското си име и парола, като заявките се изпращат до PyPI, за да подведат потенциалните жертви на атаката да си мислят, че са влезли в легитимния сайт.
Всъщност от този момент нататък данните им за достъп вече са в ръцете на нападателите, които най-вероятно ще се опитат да ги използват в близко бъдеще.
Възможни са няколко варианта за по-нататъшно развитие на кибератаката: или софтуерните компоненти в хранилището, до които е осъществен достъп по този начин, ще бъдат компрометирани от някакъв зловреден софтуер, или легитимните версии ще бъдат напълно заменени от злонамерени пакети.
Администраторите на истинския PyPI не се ограничиха само с публикуване на предупреждение и банер на главната страница, но и активно се опитват да неутрализират кампанията на нападателите. Както отбелязва Фидлър, вече са изпратени оплаквания до регистратори на имена на домейни и доставчици на CDN – те са уведомени за нарушаване на авторски права. Обикновено доставчиците реагират своевременно на подобни неща.
В тази ситуация операторите на истинския сайт PyPI едва ли ще могат да направят нещо извън това, което вече е направено, отбелязват експерти. Програмистите, които използват PyPI в работата си, трябва да предприемат мерки за защита на своите хранилища от компрометиране.
Проблемът е, че изобилието от взаимозависимости между различни софтуерни библиотеки отваря широки възможности за атаки по веригата за доставки, така че дори най-трудното за хакване хранилище може в даден момент да бъде компрометирано поради качване на злонамерено съдържание в друго, свързано с него.
Не за първи път PyPI е атакувана. Bleeping Computer припомня, че през 2024 г. платформата прекрати регистрацията на нови проекти поради активна кампания, в която нападателите качиха злонамерен софтуер на платформата.
А през февруари тази година PyPI пусна нова функция, наречена Project Archival, която позволява на разработчиците да закрепят текущото състояние на всеки проект, така че потенциалните потребители да знаят, че той вече няма да бъде актуализиран.
Експертите по киберсигурност вече регистрират увеличение на атаките срещу веригата за доставки, свързана с Python: хранилищата на GitHub и NPM и техните потребители редовно се сблъскват с опити за качване на злонамерени версии на легитимни библиотеки, особено тези, които са широко използвани.
