No Comments

Entführte PyPI-Pakete, nachdem Entwickler auf Phishing-E-Mails hereingefallen sind

 

Eine gestern abgefangene Phishing-Kampagne zielte auf Betreuer von Python-Paketen ab, die in der PyPI-Registrierung veröffentlicht wurden.

Die Python-Pakete „exotel“ und „spam“ gehören zu Hunderten, die mit Malware übersät waren, nachdem Angreifer erfolgreich Konten von Betreuern kompromittiert hatten, die auf die Phishing-E-Mail hereingefallen waren.

Phishing-Kampagne zielt auf PyPI-Maintainer ab

Administratoren der PyPI-Registrierung bestätigten gestern, dass eine Phishing-E-Mail-Kampagne aktiv auf PyPI-Betreuer abzielte, nachdem Adam Johnson, Vorstandsmitglied des Django-Projekts, hat gemeldet, dass er eine verdächtige E-Mail erhalten hat.

Die E-Mail fordert Entwickler, die ihre Pakete auf PyPI veröffentlicht haben, dringend auf, sich einem obligatorischen „Validierungsprozess“ zu unterziehen oder zu riskieren, dass ihre Pakete aus der PyPI-Registrierung entfernt werden:

„Die Phishing-Site sieht ziemlich überzeugend aus“, erklärte Johnson.

„Aber auf Google Sites gibt es unten links eine schwebende Schaltfläche „Info“. Wenn Sie darauf klicken, können Sie die Website als Phishing-Angriff melden, was ich auch getan habe.“

PyPI identifiziert manipulierte Pakete

Leider sind einige Entwickler auf die Phishing-E-Mails hereingefallen und haben ihre Anmeldedaten auf der Webseite des Angreifers eingegeben, was dazu führte, dass ihre Kreationen entführt und mit Malware durchsetzt wurden.

Unter der Liste der gekaperten Paketversionen befinden sich „Spam“ (Versionen 2.0.2 und 4.0.2) und „exotel“ (Version 0.1.6). Diese Versionen wurden gestern von PyPI-pakete.

PyPI-Administratoren versicherten weiter, dass sie „mehrere hundert Typosquats“ identifiziert und entfernt hätten, die dem Muster entsprechen.

Der in die entführten Versionen eingefügte bösartige Code hat den Computernamen des Benutzers in die Domain linkedopports[.]com exfiltriert und weiter heruntergeladen und hat einen Trojaner gestartet, der Anfragen an dieselbe illegale Domain stellt.

„Wir überprüfen aktiv Berichte über neue bösartige Veröffentlichungen und stellen sicher, dass sie entfernt und die Betreuerkonten wiederhergestellt werden“, sagt PyPI.

„Wir arbeiten auch daran, Sicherheitsfunktionen wie 2FA bereitzustellen, die in Projekten auf PyPI-pakete stärker verbreitet sind.“

Darüber hinaus teilten die Registry-Administratoren eine Reihe von Maßnahmen mit, die man unternehmen könnte, um sich vor solchen Phishing-Angriffen zu schützen, wie z. B. das Überprüfen der URL der Seite, bevor die Anmeldedaten für das PyPI-Konto bereitgestellt werden:

Diese Entwicklung folgt Mays Entführung der beliebten PyPI-Bibliothek “ctx” , die PyPI-Administratoren dazu veranlasst hatte Zwei-Faktor-Authentifizierung vorschreiben für Betreuer kritischer Projekte.

Die wiederholten Malware-Vorfälle und Angriffe mit Open-Source-Softwarekomponenten haben Registry-Administratoren gezwungen, die Sicherheit auf ihren Plattformen zu erhöhen. Es bleibt abzuwarten, wie gut die zusätzliche Belastung durch die Sicherung ihrer Projekte zusätzlich zu ihrer Entwicklung mit den Erwartungen eines Open-Source-Softwareentwicklers übereinstimmen würde.

 

Quelle: , BleepingComputer

Das könnte dir auch gefallen

More Similar Posts

Leave a Reply

Your email address will not be published. Required fields are marked *

Bitte füllen Sie dieses Feld aus.
Bitte füllen Sie dieses Feld aus.
Please enter a valid email address.