Bir kimlik avı kampanyası, aşağıdakilerin kullanıcılarını hedefliyor: Python Paket İndeksi (PyPI) PyPI yöneticileri, sahte bir doğrulama sürecinden geçmezlerse kod paketlerini kaldırmakla tehdit ederek uyardılar.
PyPI yöneticileri, kullanıcıları “zorunlu bir “doğrulama” süreci uyguladıklarını iddia eden e-postalar hakkında Python geliştiricilerinin yazılım oluşturmak için kullanmak üzere kod paketleri yayınlamasına ve bulmasına olanak tanıyan havuz hakkında uyarıyor. bir dizi tweet dolandırıcılığın nasıl çalıştığını özetliyor.
Mesajlar, PyPI kullanıcılarını doğrulamayı “veya paketin PyPI’den kaldırılması riskini” gerçekleştirmek için bir bağlantıyı takip etmeye davet ediyor. Yöneticiler, bir gönderide kullanıcılara geçerli bir projeyi asla dizinden çıkarmayacaklarına dair güvence verdi ve yalnızca kötü niyetli olduğu veya şirketin hizmet şartlarını ihlal ettiği tespit edilen projeleri kaldırdılar.
Yöneticilerin türünün ilk örneği olduğunu söylediği kampanya, güvenliği ihlal edilmiş paketleri depoya yüklemek için kullanıcıların kimlik bilgilerini çalıyor. Yöneticiler, kimlik avı kampanyasının, yazılım tedarik zinciri aracılığıyla kötü amaçlı yazılımları yaymanın bir yolu olarak kod depolarını hedeflemediğini kaydetti.
PyPI’ye göre, dolandırıcılığın arkasındaki saldırganlar, birkaç PyPI kullanıcısının kimlik bilgilerini başarıyla çaldı ve bu projeler için en son sürüm olarak hizmet etmek üzere sürdürdükleri projelere kötü amaçlı yazılım yükledi.
PyPI’nin Twitter gönderisine göre, “Bu sürümler PyPI’den kaldırıldı ve bakıcı hesapları geçici olarak donduruldu”.
Dolandırıcılık Nasıl Çalışır?
PyPI’ye göre, ilk kimlik avı mesajı, Google’ın yeni ve mevcut PyPI paketlerinin doğrulama sürecinin arkasında olduğu cazibesini sarsıyor. İronik olarak, mesaj yeni sürecin “PyPI.org etki alanına yüklenen kötü amaçlı paketlerdeki bir artıştan” kaynaklandığını iddia ediyor.
Bağlantı, kullanıcıyı, bir kimlik avı sitesi aracılığıyla girilen tüm kimlik bilgilerini çalan PyPI’nin oturum açma sayfasını taklit eden bir kimlik avı sitesine götürür.[dot]Google[dot]com/view/pypivalidate.” Veriler, “linkedopports” alanındaki bir URL’ye gönderilir.[dot]com”, “PyPI’ye göre.
PyPI yöneticileri, kimlik avı sitesinin TOTP tabanlı iki faktörlü kodları iletmek üzere tasarlanıp tasarlanmadığını belirleyemediler, ancak donanım güvenlik anahtarlarıyla korunan hesapların saldırıya açık olmadığını kaydetti.
Depo yöneticileri, yeni kötü amaçlı yayınların raporlarını aktif olarak gözden geçirme ve güvenliği ihlal edilmiş hesapların geri yüklenmesi ve bakıcılarının PyPI’yi kullanmaya devam edebilmesi için bunların kaldırılmasını sağlama sürecindedir.
Hedefte Tedarik Zinciri
Kampanya, tehdit aktörlerinin yazılım tedarik zincirine kötü amaçlı yazılım dağıtmak için kamuya açık kod depolarını hedef aldığı trendi alt üst ediyor. Kusurlu kod, geliştiriciler veya kullanıcılar bilmeden, güvenliği ihlal edilmiş kod çok sayıda uygulamaya veya web sitesine yerleştirildiğinde kötü amaçlı kampanyaların etkisini büyük ölçüde genişleterek, tehdit aktörleri için bir altın madeni olabilir.
Yaygın olarak kullanılan bir Java günlük kaydı aracındaki bir kusurun, birçoğu hala savunmasız olan milyonlarca uygulamayı etkilediği Log4J vakası, bunu büyük ölçüde gün ışığına çıkardı ve tehdit aktörleri son zamanlarda bir yol olarak kod depolarına yönelik saldırıları hızlandırdı. Tedarik zinciri boyunca kötü amaçlı kodu hızla yaymak için.
Bu ayın başlarında PyPI, bir güvenlik satıcısının bu konuda bilgi vermesinin ardından 10 kötü amaçlı kod paketini kayıt defterinden kaldırdı. Tehdit aktörleri, kayıt defterine kötü amaçlı kod gömerek kayıt defterini hedef aldı. paket kurulum komut dosyası.
PyPI sırtındaki hedefin farkındaydı ve son birkaç yılda birkaç güvenlik girişimi kullanıcılarını daha iyi korumak için.
Bu önlemler şunları içerir: iki faktörlü kimlik doğrulamanın eklenmesi (2FA) kayıt defterine yazılım yüklemek için bir oturum açma seçeneği ve API belirteçleri olarak, bağımlılık çözücü pip paketi yükleyicisinin paket bağımlılıklarının doğru sürümlerini kurmasını sağlamak ve veritabanlarının oluşturulması PyPI projelerinde bilinen Python güvenlik açıkları.
Saldırıyı Önlemek
Yöneticiler, PyPI’nin şu anda havuzdaki projeler arasında 2FA’yı daha yaygın hale getirmek için çalıştığını ve 2FA’nın zaten uygulanmış olduğu PyPI kullanıcılarının hesaplarının ele geçirildiğini düşündükleri takdirde kurtarma kodlarını sıfırlamaları gerektiğini de sözlerine ekledi.
PyPI kullanıcıları, kimlik avından tamamen kaçınmak için, PyPI’den geldiği iddia edilen herhangi bir e-postanın adres çubuğundaki URL’nin http://pypi.org olduğunu ve sitenin TLS sertifikasının http://pypi.org’a verildiğini doğrulamalıdır. Kullanıcılar ayrıca tarayıcıya entegre bir şifre yöneticisi kullanmayı düşünmelidir, yöneticiler tweet attı.
Donanım güvenlik anahtarları veya WebAuthn 2FA kullanılarak 2FA’nın etkinleştirilmesi, PyPI kullanıcılarının kimlik avı girişimlerinden korunmalarına da yardımcı olabilir, dediler. Aslında, daha iyi korumayı kolaylaştırmaya yardımcı olmak için, depo şu anda projelerin ilk %1’inin bakımcıları için ücretsiz donanım anahtarları sunmaktadır.
PyPI, güvenliğinin ihlal edildiğini düşünen kullanıcılara iletişim kurmalarını tavsiye etti [email protected] yöneticilerin bu soruna yanıt vermesine yardımcı olmak için gönderen e-posta adresi ve kötü amaçlı sitenin URL’si hakkında ayrıntılar.
