Анбори бастаи PyPI (Index Python Package Index) сабти корбарон ва лоиҳаҳои навро муваққатан қатъ кардааст. Сабаб афзоиши фаъолияти ҳамлагаронест, ки нашри бастаҳоро бо рамзи зараровар ташкил кардаанд. Қайд карда мешавад, ки бо якчанд маъмурон дар рухсатӣ, ҳаҷми лоиҳаҳои зараровар ба қайд гирифташуда ҳафтаи гузашта аз қобилияти вокуниши зуд ба дастаи боқимондаи PyPI зиёдтар буд. Таҳиягарон нақша доранд, ки дар рӯзҳои истироҳат баъзе равандҳои санҷишро дубора барқарор кунанд ва пас аз он имкони сабти номро дар анбор дубора оғоз кунанд.
Тибқи маълумоти системаи мониторинги нармафзори зараровар Sonatype, дар моҳи марти соли 2023 дар каталоги PyPI 6933 2019 бастаи зараровар ошкор карда шуд ва дар маҷмӯъ аз соли 115 шумораи бастаҳои зараровар ошкоршуда аз 2022 144 гузаштааст. Дар моҳи декабри соли XNUMX ҳамла ба каталогҳои NuGet, NPM ва PyPI боиси нашри XNUMX XNUMX бастаи фишинг ва коди спам гардид.
Аксари бастаҳои зараровар худро ҳамчун китобхонаҳои маъмулӣ бо истифода аз typequatting (таъин кардани номҳои шабеҳ, ки бо аломатҳои инфиродӣ фарқ мекунанд, масалан, ба ҷои мисол, djangoo ба ҷои django, питон ба ҷои python ва ғ.) пинҳон мекунанд - ҳамлагарон ба корбарони беэҳтиёт такя мекунанд, ки хато навишта шудааст ё ҳангоми ҷустуҷӯ фарқияти номро мушоҳида накардааст. Амалҳои бадқасдона одатан барои фиристодани маълумоти махфии дар системаи маҳаллӣ пайдошуда дар натиҷаи муайян кардани файлҳои маъмулӣ бо паролҳо, калидҳои дастрасӣ, ҳамёнҳои криптографӣ, токенҳо, кукиҳои сессия ва дигар маълумоти махфӣ сурат мегиранд.
Манбаъ: opennet.ru