Le référentiel de packages Python PyPI (Python Package Index) a temporairement arrêté d'enregistrer de nouveaux utilisateurs et projets. La raison invoquée est une recrudescence de l'activité des attaquants qui ont commencé à publier des packages contenant du code malveillant. Il convient de noter que, étant donné que plusieurs administrateurs étaient en vacances, la semaine dernière, le volume de projets malveillants enregistrés a dépassé les capacités de l'équipe PyPI restante à réagir rapidement. Les développeurs prévoient de reconstruire certains processus de vérification au cours du week-end, puis de reprendre la possibilité de s'inscrire auprès du référentiel.
Selon le système de surveillance des activités malveillantes de Sonatype, en mars 2023, 6933 2019 packages malveillants ont été trouvés dans le catalogue PyPI, et au total, depuis 115, le nombre de packages malveillants détectés a dépassé 2022 144. En décembre XNUMX, à la suite d'une attaque contre les répertoires NuGet, NPM et PyPI, la publication de XNUMX XNUMX packages contenant du code de phishing et de spam a été enregistrée.
La plupart des packages malveillants sont déguisés en bibliothèques populaires utilisant le typosquatting (attribuant des noms similaires qui diffèrent par des caractères individuels, par exemple, exemple au lieu d'exemple, djangoo au lieu de django, pyhton au lieu de python, etc.) - les attaquants s'appuient sur des utilisateurs inattentifs qui ont créé un faute de frappe ou n'a pas remarqué de différences dans le nom lors de la recherche. Les actions malveillantes se résument généralement à l'envoi de données confidentielles trouvées sur le système local suite à l'identification de fichiers typiques avec des mots de passe, des clés d'accès, des portefeuilles cryptographiques, des jetons, des cookies de session et d'autres informations confidentielles.
Source: opennet.ru