A Python csomagtár PyPI (Python Package Index) átmenetileg leállította az új felhasználók és projektek regisztrálását. Ennek oka a támadók aktivitásának megugrása, akik rosszindulatú kódot tartalmazó csomagokat kezdtek közzé tenni. Megjegyzendő, hogy mivel több rendszergazda szabadságon volt, a múlt héten a regisztrált rosszindulatú projektek száma meghaladta a maradék PyPI-csapat gyors reagálási képességét. A fejlesztők azt tervezik, hogy a hétvégén újraépítenek néhány ellenőrzési folyamatot, majd újraindítják a tárolóban való regisztráció lehetőségét.
A Sonatype rosszindulatú tevékenység-figyelő rendszere szerint 2023 márciusában 6933 rosszindulatú csomagot találtak a PyPI katalógusban, összesen pedig 2019 óta az észlelt rosszindulatú csomagok száma meghaladta a 115 ezret. 2022 decemberében a NuGet, NPM és PyPI címtárak elleni támadás eredményeként 144 ezer adathalász és spam kódot tartalmazó csomag közzétételét rögzítették.
A legtöbb rosszindulatú csomagot népszerű könyvtárnak álcázzák typosquatting használatával (hasonló nevek hozzárendelése, amelyek az egyes karakterekben különböznek, például példa helyett példa, djangoo a django helyett, pyhton python helyett stb.) - a támadók figyelmetlen felhasználókra hagyatkoznak, akik elírás, vagy nem vett észre különbségeket a névben a keresés során. A rosszindulatú műveletek általában a helyi rendszeren talált bizalmas adatok elküldésére vezethetők vissza, a tipikus fájlok jelszavakkal, hozzáférési kulcsokkal, titkosítási pénztárcákkal, tokenekkel, munkamenet-sütikkel és egyéb bizalmas információkkal történő azonosítása eredményeként.
Forrás: opennet.ru