Uzmanlar, dolandırıcıların PyPI Python paket bakımcılarını oturum açma kimlik bilgilerini vermeleri için kandırdığını, ardından oturum açmak ve paketleri kötü amaçlı yazılımlarla kirletmek için parolaları kullandığını iddia etti.
Haber, Django proje yönetim kurulu üyesi Adam Johnson tarafından kendisine saldırıldıktan sonra “yüzlerce” paketin etkilenmesiyle doğrulandı.
Rapora göre, bilinmeyen bir tehdit aktörü, paket sahiplerine kimlik avı e-postaları göndererek kendilerini “doğrulamaları” gerektiğini, aksi takdirde paketlerinin platformdan kaldırılacağını iddia etti. Johnson, e-postadaki bağlantıya tıklamanın hedefleri “oldukça ikna edici” bir kimlik avı sitesine gönderdiğini söyledi.
Yüzlerce kusurlu paket
Rapora göre, bazı bakıcılar buna kanıyor ve oturum açma bilgilerini dolandırıcılara veriyor. Bu bilgiyi, daha sonra platformdan kaldırılan “birkaç yüz” paketi kaçırmak için kullandılar. Kodun yaptığı kötü niyetli şeyler arasında uç noktayı sızdırmak da var. (yeni sekmede açılır)‘nin bilgisayar adı, etki alanı bağlantılıopports’a[.]com ve bir truva atı indirmek.
PyPI, “Yeni kötü amaçlı yayınların raporlarını aktif olarak inceliyoruz ve bunların kaldırıldığından ve bakım hesaplarının geri yüklendiğinden emin oluyoruz” diyor. “Ayrıca 2FA gibi güvenlik özelliklerini PyPI üzerindeki projelerde daha yaygın hale getirmek için çalışıyoruz.”
600.000’den fazla aktif kullanıcısı olan dünyanın en büyük Python kod deposu olan PyPI, son zamanlarda bir saldırı barajı altında. Bir aydan kısa bir süre önce, araştırmacılar, tümü “yazım hatası” olan neredeyse bir düzine kötü amaçlı paket buldu. Typosquatting, kötü amaçlı paketin orijinal paketle neredeyse aynı bir ada sahip olduğu, yalnızca küçük bir “yazım hatası” taşıdığı ve geliştiricileri orijinal paket yerine onu indirmeye ve kullanmaya kandırabilecek bir kötü amaçlı yazılım dağıtım tekniğidir.
Daha geçen hafta, amacı hırsızlık yapmak olan bir düzine kötü amaçlı paket daha keşfedildi. (yeni sekmede açılır) tarayıcılarda depolanan hassas veriler, Discord istemcisine arka kapılar yükleyin, kimlik doğrulama jetonlarını ve ödeme verilerini çalın.
Aracılığıyla: BleeBilgisayar (yeni sekmede açılır)