PyPI Python фишинг VirusTotal
Почти треть PyPI-пакетов позволяют злоумышленнику завладеть устройством жертвы.
Платформа PyPI
предупредила о фишинговой атаке , нацеленной на Python-разработчиков. Исследователи заявили, что это первая известная фишинговая кампания против PyPI, в ходе которой хакеры взломали несколько учетных записей пользователей.
Киберпреступники
отправляли фишинговые электронные письма , в которых информировали жертв о том, что Google выполняет обязательный процесс проверки для всех пакетов и пользователю необходимо подтвердить свои учетные данные.
Фишинговое письмоСсылка в письме перенаправляет на поддельную страницу входа в PyPI.
Поддельная страница входа в PyPIПосле ввода учетных данных на устройство жертвы загружаются вредоносные PyPI-пакеты, которые к настоящему времени уже удалены:
версия 0.1.6 «exotel» (более 480 000 загрузок);
версия 2.0.2 и 4.0.2 «spam» (более 200 000 загрузок).
Пакеты загружают с удаленного сервера вредонос «python-install.scr» размером 63 МБ, который имеет действительную подпись и проходит
проверку VirusTotal
(3/67 обнаружений). Вредоносное ПО позволяет удаленно выполнить код и захватить контроль над устрйством.
Более того, эксперты Medium опубликовали
список более 100 вредоносных PyPI-пакетов , которые доставляются в рамках этой кампании.
Согласно
данным Checkmarx , почти треть PyPI-пакетов имеют уязвимости, которые позволяют злоумышленнику автоматически выполнить код. Для защиты от этой атаки PyPI раздает бесплатные аппаратные ключи безопасности. Поскольку PyPI-пакеты стали частой мишенью киберпреступников, разработчиков призывают применять все необходимые меры безопасности.
SECURITYLAB.RU