Репозиторий PyPI временно запретил создание проектов и регистрацию новых пользователей

Популярный репозиторий открытого программного обеспечения PyPI (Python Package Index) недавно столкнулся с масштабной кибератакой, в ходе которой злоумышленники использовали автоматизированные средства для загрузки на платформу множества вредоносных пакетов.

При установке на устройства пользователей данные пакеты запускали вредоносный код, нацеленный на кражу криптовалютных кошельков, конфиденциальных данных из браузеров, учётных записей и прочей ценной информации.

Злоумышленники использовали метод «typosquatting» — создание пакетов с именами, отличающимися на одну-две буквы от уже известных и популярных библиотек. В качестве приманки хакеры ориентировались на такие пакеты, как Requests, Pillow и Colorama. Таким образом, пользователь мог случайно установить заражённый пакет вместо легитимного.

Как сообщают эксперты по кибербезопасности из компании Checkmarx, вредоносный код размещался злоумышленниками в файле «setup.py» каждого такого пакета. Это позволяло автоматически запускать вредоносную нагрузку при установке пакета. Код был тщательно зашифрован с помощью модуля Fernet для сокрытия своей вредоносной природы.

После выполнения зашифрованного кода происходило подключение к удалённому серверу и загрузка дополнительной вредоносной нагрузки. Зловредное ПО также внедряло механизм постоянства, позволявший ему оставаться активным в заражённой системе даже после перезагрузки.

Обнаружив атаку, администрация PyPI оперативно приняла меры — на 10 часов была временно приостановлена возможность создания новых проектов и регистрации пользователей. Это позволило удалить все выявленные заражённые пакеты, после чего работа ресурса была полностью восстановлена.

Данный инцидент является лишь одним из множества примеров растущей угрозы атак на инфраструктуру разработки программного обеспечения. Ранее аналогичные кампании неоднократно затрагивали такие популярные ресурсы как GitHub, npm и RubyGems. Злоумышленники применяют разные техники, включая клонирование легитимных репозиториев и внедрение в них вредоносного кода, а также использование техники «dependency confusion».

К сожалению, полностью обезопасить экосистему разработки ПО от таких атак невозможно. Эксперты рекомендуют разработчикам крайне внимательно проверять названия, источники и содержимое устанавливаемых пакетов, чтобы не стать жертвой вредоносных кампаний. Также важны своевременное обновление программного обеспечения и отслеживание новых актуальных угроз.