El repositorio de paquetes Python PyPI (Python Package Index) ha dejado de registrar temporalmente nuevos usuarios y proyectos. La razón dada es un aumento en la actividad de los atacantes que han comenzado a publicar paquetes con código malicioso. Cabe señalar que, dado que varios administradores estaban de vacaciones, la semana pasada el volumen de proyectos maliciosos registrados superó la capacidad del resto del equipo de PyPI para responder rápidamente. Los desarrolladores planean reconstruir algunos procesos de verificación durante el fin de semana y luego reanudar la posibilidad de registrarse en el repositorio.
Según el sistema de seguimiento de actividad maliciosa de Sonatype, en marzo de 2023 se encontraron 6933 paquetes maliciosos en el catálogo de PyPI, y en total, desde 2019, el número de paquetes maliciosos detectados ha superado los 115 mil. En diciembre de 2022, como consecuencia de un ataque a los directorios NuGet, NPM y PyPI, se registró la publicación de 144 mil paquetes con códigos de phishing y spam.
La mayoría de los paquetes maliciosos se disfrazan como bibliotecas populares que utilizan typosquatting (asignando nombres similares que difieren en caracteres individuales, por ejemplo, ejemplo en lugar de ejemplo, djangoo en lugar de django, pyhton en lugar de python, etc.): los atacantes dependen de usuarios distraídos que realizan una error tipográfico o no noté diferencias en el nombre al realizar la búsqueda. Las acciones maliciosas generalmente se reducen al envío de datos confidenciales que se encuentran en el sistema local como resultado de la identificación de archivos típicos con contraseñas, claves de acceso, billeteras criptográficas, tokens, cookies de sesión y otra información confidencial.
Fuente: opennet.ru