Nenhum comentário

Pacotes PyPI sequestrados após desenvolvedores caírem em e-mails de phishing

 

Uma campanha de phishing detectada ontem foi vista visando mantenedores de pacotes Python publicados no registro PyPI.

Os pacotes Python ‘exotel’ e ‘spam’ estão entre as centenas vistas com malware depois que os invasores comprometeram com sucesso contas de mantenedores que caíram no e-mail de phishing.

A campanha de phishing tem como alvo os mantenedores do PyPI

Os administradores do registro PyPI confirmaram ontem que uma campanha de e-mail de phishing teve ativamente como alvo os mantenedores do PyPI após o membro do conselho do projeto Django Adam Johnson relatou receber um e-mail suspeito.

O e-mail insta os desenvolvedores, que têm seus pacotes publicados no PyPI, a passar por um processo obrigatório de “validação” ou correm o risco de ter seus pacotes removidos do registro PyPI:

“O site de phishing parece bastante convincente”, explicou Johnson.

“Mas, como está no Google Sites, há um botão flutuante de ‘informações’ no canto inferior esquerdo. Clicar nele permite que você denuncie o site como um ataque de phishing, o que eu fiz.”

PyPI identifica pacotes comprometidos

Infelizmente, alguns desenvolvedores caíram nos e-mails de phishing e inseriram suas credenciais na página da Web do invasor, fazendo com que suas criações fossem invadidas e contaminadas com malware.

Entre a lista de versões sequestradas de pacotes estão ‘spam’ (versões 2.0.2 e 4.0.2) e ‘exotel’ (versão 0.1.6). Essas versões foram retiradas do PyPI ontem.

Os administradores do PyPI garantiram ainda que identificaram e removeram “várias centenas de typosquats” que correspondiam ao padrão.

O código malicioso inserido nas versões sequestradas extravasou o nome do computador do usuário para o domínio linkedopports[.]com e fez o download e lançou um trojan que faz solicitações para o mesmo domínio ilícito.

“Estamos revisando ativamente os relatórios de novos lançamentos maliciosos e garantindo que eles sejam removidos e as contas do mantenedor restauradas”, diz PyPI.

“Também estamos trabalhando para fornecer recursos de segurança como 2FA mais prevalentes em projetos no PyPI.”

Além disso, os administradores do registro compartilharam várias etapas que podem ser seguidas para se proteger desses ataques de phishing, como verificar o URL da página antes de fornecer as credenciais da conta PyPI:

Esse desenvolvimento segue O sequestro de maio da popular biblioteca PyPI ‘ctx’ que levou os administradores do PyPI a obrigar autenticação de dois fatores para mantenedores de projetos críticos.

Os repetidos incidentes de malware e ataques envolvendo componentes de software de código aberto forçaram os administradores de registro a aumentar a segurança em suas plataformas. Resta saber até que ponto a carga adicional de proteger seus projetos, além de desenvolvê-los, se alinha com as expectativas de um desenvolvedor de software de código aberto.

 

Fonte: , BleepingComputer

Você pode gostar também

More Similar Posts

Deixe um comentário

O seu endereço de e-mail não será publicado.

Preencha esse campo
Preencha esse campo
Digite um endereço de e-mail válido.