Das Python-Paket-Repository PyPI (Python Package Index) hat die Registrierung neuer Benutzer und Projekte vorübergehend eingestellt. Grund ist die zunehmende Aktivität von Angreifern, die die Veröffentlichung von Paketen mit Schadcode veranlasst haben. Es wird darauf hingewiesen, dass mehrere Administratoren im Urlaub waren und die Menge der registrierten Schadprojekte letzte Woche die Fähigkeit des verbleibenden PyPI-Teams überstieg, schnell zu reagieren. Die Entwickler planen, am Wochenende einen Teil der Verifizierungsprozesse neu zu erstellen und anschließend die Möglichkeit der Registrierung im Repository wieder aufzunehmen.
Nach Angaben des Malware-Überwachungssystems Sonatype wurden im März 2023 6933 Schadpakete im PyPI-Katalog gefunden, und insgesamt übersteigt die Zahl der erkannten Schadpakete seit 2019 115. Im Dezember 2022 führte ein Angriff auf die NuGet-, NPM- und PyPI-Kataloge zur Veröffentlichung von 144 Paketen mit Phishing- und Spam-Code.
Die meisten bösartigen Pakete tarnen sich als beliebte Bibliotheken, indem sie Typesquatting verwenden (durch die Zuweisung ähnlicher Namen, die sich in einzelnen Zeichen unterscheiden, zum Beispiel „exampl“ statt „example“, „djangoo“ statt „django“, „pyhton“ statt „python“ usw.) – Angreifer verlassen sich auf unaufmerksame Benutzer, die eine erstellt haben Ich habe einen Tippfehler gemacht oder bei der Suche keine Unterschiede im Namen bemerkt. Bei böswilligen Aktionen handelt es sich in der Regel um das Senden vertraulicher Daten, die auf dem lokalen System gefunden werden, indem typische Dateien mit Passwörtern, Zugriffsschlüsseln, Krypto-Wallets, Tokens, Sitzungscookies und anderen vertraulichen Informationen definiert werden.
Source: opennet.ru