Ang Python package repository PyPI (Python Package Index) temporaryo nga mihunong sa pagrehistro sa mga bag-ong tiggamit ug mga proyekto. Ang gihatag nga rason mao ang pagdagsang sa kalihokan sa mga tig-atake nga nagsugod sa pagmantala sa mga pakete nga adunay malisyoso nga code. Namatikdan nga, tungod kay daghang mga administrador ang nagbakasyon, sa miaging semana ang gidaghanon sa mga narehistro nga malisyoso nga proyekto milabaw sa kapabilidad sa nahabilin nga koponan sa PyPI aron dali nga makatubag. Ang mga developers nagplano sa pagtukod pag-usab sa pipila ka mga proseso sa pag-verify sa katapusan sa semana, ug unya ipadayon ang abilidad sa pagparehistro sa repository.
Sumala sa malisyosong sistema sa pag-monitor sa kalihokan gikan sa Sonatype, kaniadtong Marso 2023, 6933 ka malisyoso nga mga pakete ang nakit-an sa katalogo sa PyPI, ug sa kinatibuk-an, sukad sa 2019, ang gidaghanon sa mga nakit-an nga malisyoso nga mga pakete milapas sa 115 ka libo. Niadtong Disyembre 2022, isip resulta sa pag-atake sa NuGet, NPM ug PyPI nga mga direktoryo, ang pagmantala sa 144 ka libo nga mga pakete nga adunay phishing ug spam code ang natala.
Kadaghanan sa mga malisyosong pakete nagtakuban isip popular nga mga librarya gamit ang typosquatting (paghatag ug susamang mga ngalan nga lahi sa tagsa-tagsa nga mga karakter, pananglitan, pananglitan, imbes nga pananglitan, djangoo imbes nga django, pyhton imbes nga python, ug uban pa) - ang mga tig-atake nagsalig sa walay pagtagad nga tiggamit nga naghimo sa usa ka typo o wala nakamatikod sa mga kalainan sa ngalan sa pagpangita. Ang malisyosong mga aksyon kasagarang moabut sa pagpadala sa kompidensyal nga datos nga makita sa lokal nga sistema isip resulta sa pag-ila sa kasagaran nga mga file nga adunay mga password, access key, crypto wallet, token, session Cookies ug uban pang kompidensyal nga impormasyon.
Source: opennet.ru