Eine gestern abgefangene Phishing-Kampagne zielte auf Betreuer von Python-Paketen ab, die in der PyPI-Registrierung veröffentlicht wurden.
Die Python-Pakete „exotel“ und „spam“ gehören zu Hunderten, die mit Malware übersät waren, nachdem Angreifer erfolgreich Konten von Betreuern kompromittiert hatten, die auf die Phishing-E-Mail hereingefallen waren.
Phishing-Kampagne zielt auf PyPI-Maintainer ab
Administratoren der PyPI-Registrierung bestätigten gestern, dass eine Phishing-E-Mail-Kampagne aktiv auf PyPI-Betreuer abzielte, nachdem Adam Johnson, Vorstandsmitglied des Django-Projekts, hat gemeldet, dass er eine verdächtige E-Mail erhalten hat.
Die E-Mail fordert Entwickler, die ihre Pakete auf PyPI veröffentlicht haben, dringend auf, sich einem obligatorischen „Validierungsprozess“ zu unterziehen oder zu riskieren, dass ihre Pakete aus der PyPI-Registrierung entfernt werden:
Background: the phishing message claims that there is a mandatory ‘validation’ process being implemented, and invites users to follow a link to validate a package, or otherwise risk the package being removed from PyPI. pic.twitter.com/r0JOgT98Yg
— Python Package Index (@pypi) August 24, 2022
„Die Phishing-Site sieht ziemlich überzeugend aus“, erklärte Johnson.
„Aber auf Google Sites gibt es unten links eine schwebende Schaltfläche „Info“. Wenn Sie darauf klicken, können Sie die Website als Phishing-Angriff melden, was ich auch getan habe.“
PyPI identifiziert manipulierte Pakete
Leider sind einige Entwickler auf die Phishing-E-Mails hereingefallen und haben ihre Anmeldedaten auf der Webseite des Angreifers eingegeben, was dazu führte, dass ihre Kreationen entführt und mit Malware durchsetzt wurden.
Unter der Liste der gekaperten Paketversionen befinden sich „Spam“ (Versionen 2.0.2 und 4.0.2) und „exotel“ (Version 0.1.6). Diese Versionen wurden gestern von PyPI-pakete.
PyPI-Administratoren versicherten weiter, dass sie „mehrere hundert Typosquats“ identifiziert und entfernt hätten, die dem Muster entsprechen.
Der in die entführten Versionen eingefügte bösartige Code hat den Computernamen des Benutzers in die Domain linkedopports[.]com exfiltriert und weiter heruntergeladen und hat einen Trojaner gestartet, der Anfragen an dieselbe illegale Domain stellt.
The malicious releases follow a similar pattern, again using linkedopports[dot]com. At this time, the malicious releases that we are aware of are:
– exotel==0.1.6
– spam==2.0.2 and ==4.0.2We’ve additionally taken down several hundred typosquats that fit the same pattern. pic.twitter.com/MjvhWGNAz3
— Python Package Index (@pypi) August 24, 2022
„Wir überprüfen aktiv Berichte über neue bösartige Veröffentlichungen und stellen sicher, dass sie entfernt und die Betreuerkonten wiederhergestellt werden“, sagt PyPI.
„Wir arbeiten auch daran, Sicherheitsfunktionen wie 2FA bereitzustellen, die in Projekten auf PyPI-pakete stärker verbreitet sind.“
Darüber hinaus teilten die Registry-Administratoren eine Reihe von Maßnahmen mit, die man unternehmen könnte, um sich vor solchen Phishing-Angriffen zu schützen, wie z. B. das Überprüfen der URL der Seite, bevor die Anmeldedaten für das PyPI-Konto bereitgestellt werden:
How to protect yourself: If you believe you may have entered credentials on a phishing site:
– reset your password
– reset your 2FA recovery codes
– review https://t.co/181dLGV0zi and https://t.co/H0GWwzWYm6 for suspicious activity— Python Package Index (@pypi) August 24, 2022
Diese Entwicklung folgt Mays Entführung der beliebten PyPI-Bibliothek “ctx” , die PyPI-Administratoren dazu veranlasst hatte Zwei-Faktor-Authentifizierung vorschreiben für Betreuer kritischer Projekte.
Die wiederholten Malware-Vorfälle und Angriffe mit Open-Source-Softwarekomponenten haben Registry-Administratoren gezwungen, die Sicherheit auf ihren Plattformen zu erhöhen. Es bleibt abzuwarten, wie gut die zusätzliche Belastung durch die Sicherung ihrer Projekte zusätzlich zu ihrer Entwicklung mit den Erwartungen eines Open-Source-Softwareentwicklers übereinstimmen würde.
Quelle: Ax Sharma, BleepingComputer