Новости Репозиторий PyPI временно запретил создание проектов и регистрацию новых пользователей

NewsMaker

I'm just a script
Премиум
13,854
20
8 Ноя 2022
С чем борются платформодержатели и что делать рядовым разработчикам?


twwj11qud2jgrpp3br37488768npyhjx.jpg


Популярный репозиторий открытого программного обеспечения PyPI (Python Package Index) недавно столкнулся с масштабной кибератакой, в ходе которой злоумышленники использовали автоматизированные средства для загрузки на платформу множества вредоносных пакетов.

При установке на устройства пользователей данные пакеты запускали вредоносный код, нацеленный на кражу криптовалютных кошельков, конфиденциальных данных из браузеров, учётных записей и прочей ценной информации.

Злоумышленники использовали метод «typosquatting» — создание пакетов с именами, отличающимися на одну-две буквы от уже известных и популярных библиотек. В качестве приманки хакеры ориентировались на такие пакеты, как Для просмотра ссылки Войди или Зарегистрируйся Для просмотра ссылки Войди или Зарегистрируйся и Для просмотра ссылки Войди или Зарегистрируйся Таким образом, пользователь мог случайно установить заражённый пакет вместо легитимного.

Для просмотра ссылки Войди или Зарегистрируйся эксперты по кибербезопасности из компании Checkmarx , вредоносный код размещался злоумышленниками в файле «setup.py» каждого такого пакета. Это позволяло автоматически запускать вредоносную нагрузку при установке пакета. Код был тщательно зашифрован с помощью модуля Fernet для сокрытия своей вредоносной природы.

После выполнения зашифрованного кода происходило подключение к удалённому серверу и загрузка дополнительной вредоносной нагрузки. Зловредное ПО также внедряло механизм постоянства, позволявший ему оставаться активным в заражённой системе даже после перезагрузки.

Обнаружив атаку, администрация PyPI Для просмотра ссылки Войди или Зарегистрируйся — на 10 часов была временно приостановлена возможность создания новых проектов и регистрации пользователей. Это позволило удалить все выявленные заражённые пакеты, после чего работа ресурса была полностью восстановлена.

Данный инцидент является лишь одним из множества примеров растущей угрозы атак на инфраструктуру разработки программного обеспечения. Ранее аналогичные кампании неоднократно затрагивали такие популярные ресурсы как GitHub, npm и RubyGems. Злоумышленники применяют разные техники, включая клонирование легитимных репозиториев и внедрение в них вредоносного кода, а также использование техники «dependency confusion» .

К сожалению, полностью обезопасить экосистему разработки ПО от таких атак невозможно. Эксперты рекомендуют разработчикам крайне внимательно проверять названия, источники и содержимое устанавливаемых пакетов, чтобы не стать жертвой вредоносных кампаний. Также важны своевременное обновление программного обеспечения и отслеживание новых актуальных угроз.
 
Источник новости
www.securitylab.ru

Похожие темы