Uma campanha de phishing detectada ontem foi vista visando mantenedores de pacotes Python publicados no registro PyPI.
Os pacotes Python ‘exotel’ e ‘spam’ estão entre as centenas vistas com malware depois que os invasores comprometeram com sucesso contas de mantenedores que caíram no e-mail de phishing.
A campanha de phishing tem como alvo os mantenedores do PyPI
Os administradores do registro PyPI confirmaram ontem que uma campanha de e-mail de phishing teve ativamente como alvo os mantenedores do PyPI após o membro do conselho do projeto Django Adam Johnson relatou receber um e-mail suspeito.
O e-mail insta os desenvolvedores, que têm seus pacotes publicados no PyPI, a passar por um processo obrigatório de “validação” ou correm o risco de ter seus pacotes removidos do registro PyPI:
Background: the phishing message claims that there is a mandatory ‘validation’ process being implemented, and invites users to follow a link to validate a package, or otherwise risk the package being removed from PyPI. pic.twitter.com/r0JOgT98Yg
— Python Package Index (@pypi) August 24, 2022
“O site de phishing parece bastante convincente”, explicou Johnson.
“Mas, como está no Google Sites, há um botão flutuante de ‘informações’ no canto inferior esquerdo. Clicar nele permite que você denuncie o site como um ataque de phishing, o que eu fiz.”
PyPI identifica pacotes comprometidos
Infelizmente, alguns desenvolvedores caíram nos e-mails de phishing e inseriram suas credenciais na página da Web do invasor, fazendo com que suas criações fossem invadidas e contaminadas com malware.
Entre a lista de versões sequestradas de pacotes estão ‘spam’ (versões 2.0.2 e 4.0.2) e ‘exotel’ (versão 0.1.6). Essas versões foram retiradas do PyPI ontem.
Os administradores do PyPI garantiram ainda que identificaram e removeram “várias centenas de typosquats” que correspondiam ao padrão.
O código malicioso inserido nas versões sequestradas extravasou o nome do computador do usuário para o domínio linkedopports[.]com e fez o download e lançou um trojan que faz solicitações para o mesmo domínio ilícito.
The malicious releases follow a similar pattern, again using linkedopports[dot]com. At this time, the malicious releases that we are aware of are:
– exotel==0.1.6
– spam==2.0.2 and ==4.0.2We’ve additionally taken down several hundred typosquats that fit the same pattern. pic.twitter.com/MjvhWGNAz3
— Python Package Index (@pypi) August 24, 2022
“Estamos revisando ativamente os relatórios de novos lançamentos maliciosos e garantindo que eles sejam removidos e as contas do mantenedor restauradas”, diz PyPI.
“Também estamos trabalhando para fornecer recursos de segurança como 2FA mais prevalentes em projetos no PyPI.”
Além disso, os administradores do registro compartilharam várias etapas que podem ser seguidas para se proteger desses ataques de phishing, como verificar o URL da página antes de fornecer as credenciais da conta PyPI:
How to protect yourself: If you believe you may have entered credentials on a phishing site:
– reset your password
– reset your 2FA recovery codes
– review https://t.co/181dLGV0zi and https://t.co/H0GWwzWYm6 for suspicious activity— Python Package Index (@pypi) August 24, 2022
Esse desenvolvimento segue O sequestro de maio da popular biblioteca PyPI ‘ctx’ que levou os administradores do PyPI a obrigar autenticação de dois fatores para mantenedores de projetos críticos.
Os repetidos incidentes de malware e ataques envolvendo componentes de software de código aberto forçaram os administradores de registro a aumentar a segurança em suas plataformas. Resta saber até que ponto a carga adicional de proteger seus projetos, além de desenvolvê-los, se alinha com as expectativas de um desenvolvedor de software de código aberto.
Fonte: Ax Sharma, BleepingComputer
