钓鱼活动针对PyPI用户,分发恶意代码删除代码包。PyPI管理员提醒用户注意代码存储库(它使Python开发人员能够发布和查找用于构建软件的代码包),并留意声称要实施“强制性‘验证’过程”的电子邮件。管理员发出了一系列推文,概述了该骗局的运作方式。该电子邮件邀请PyPI用户单击链接以执行验证“否则代码包可能会从PyPI中删除”。在帖子中,管理员向用户保证他们永远不会从PyPI中删除有效项目,他们只会删除被发现是恶意或违反公司服务条款的项目。据管理员称,该活动史无前例:它窃取用户凭据并将受感染的代码包加载到代码存储库中。管理员特别指出,此网络钓鱼活动不以代码存储库为目标,以便通过软件供应链传播恶意软件。根据PyPI的说法,实施这一骗局的攻击者已经设法窃取了多个PyPI用户的凭据,并将恶意软件上传到他们维护的项目中,充当这些项目的最新版本。PyPI的推文写道:“这些版本已被某人从PyPI中删除,维护者帐户已被暂时停用。”这个骗局是如何运作的?根据PyPI的说法,最初的钓鱼邮件投下了这个诱饵:谷歌支持对新旧PyPI代码包进行验证的过程。具有讽刺意味的是,该电子邮件声称新流程是由于“上传到PyPI.org域的恶意代码包数量激增”。该链接将用户引导至一个模仿PyPI登录页面的钓鱼网站,该网站反过来会窃取通过钓鱼网站sites[dot]google[dot]com/view/pypivalidate输入的任何凭据。然后将数据发送到域linkedopports[dot]com上的URL。PyPI管理员无法确认钓鱼站点是否设计用于中继基于TOTP的双因素代码,但指出受硬件安全密钥保护的帐户不易受到攻击。代码库管理员正在积极审查报告的新恶意版本,以确保将其删除,以便恢复受感染的帐户,维护人员可以继续使用PyPI。聚焦供应链此次攻击活动是当前威胁行为者以公共代码存储库为目标以将恶意软件分发到软件供应链中的趋势的一个例外。有缺陷的代码可能是威胁行为者的金矿,当在开发人员或用户不知情的情况下将作弊代码内置到大量应用程序或网站中时,恶意活动的影响可能会大大放大。这在Log4J案例中得到了清楚的证明,其中广泛使用的Java日志记录工具中的一个缺陷影响了数百万个应用程序,其中许多应用程序仍然容易受到攻击,并且威胁参与者最近扩大了他们的攻击代码库,以便通过供应链。本月早些时候,在一家安全供应商通知他们这个问题后,PyPI从注册表中删除了10个恶意代码包。威胁行为者将恶意代码嵌入到代码包安装脚本中以攻击注册表。PyPI已经意识到自己受到攻击,并在过去几年启动了多个安全项目以更好地保护用户。其中包括:添加双因素身份验证(2FA)作为登录选项、用于将软件上传到注册表的API令牌、确保pip代码安装程序安装正确版本的代码包依赖项的依赖项解析器,以及创建一个列出已知Python漏洞的数据库PyPI项目。受挫的攻击管理员表示,PyPI目前正在努力使2FA在代码库的项目中更加普遍,实施了2FA的PyPI用户如果认为自己的帐户已被盗用,应重置恢复代码。为完全避免成为网络钓鱼活动的目标,PyPI用户应确认任何声称来自PyPI的电子邮件的地址栏中的URL是http://pypi.org,它具有颁发给http://pypi的TLS证书。组织。管理员在推特上说,用户还应该考虑使用浏览器集成的密码管理器。他们说,通过使用硬件安全密钥或WebAuthn2FA启用2FA还可以帮助PyPI用户避免受到网络钓鱼活动的影响。事实上,为了帮助加强保护,代码库目前正在为前1%项目的维护者提供免费的硬件密钥。PyPI建议任何认为自己已受到威胁的用户联系security@pypi.org以提供有关发件人电子邮件地址和恶意站点URL的详细信息,以帮助管理员处理该问题。本文翻译自:https://www.darkreading.com/cloud/phishing-campaign-targets-pypi-users-to-distribute-malicious-code如有转载请注明出处。
