Администрация PyPI предупредила о фишинговой кампании, направленной на мейнтейнеров опубликованных в репозитории пакетов. Злоумышленники уже скомпрометировали сотни учетных записей сопровождающих и заразили малварью множество пакетов, включая популярные exotel и spam.
В PyPI сообщили, что на разработчиков объявлена настоящая «охота», после того как о получении подозрительного письма сообщил даже член правления Django Адам Джонсон (Adam Johnson). В полученном им послании, разработчиков, чьи пакеты опубликованы в PyPI, призывали пройти обязательный процесс проверки, сообщая, что в противном случае они рискуют удалением пакетов из PyPI.
Джонсон рассказал, что фишинговый сайт, на которой он перешел по ссылке из письма, выглядел довольно убедительно, однако он размещался на Google Sites, из-за чего в левом нижнем углу присутствовала кнопка «Информация». «Нажав на нее, вы можете сообщить о фишинговой атаке, что я и сделал», — говорит Джонсон.
К сожалению, не все оказались так же внимательны, как Джонсон. Некоторые разработчики попались на удочку фишеров и ввели свои учетные данные на сайте хакеров, что привело к захвату их учетных записей и заражению пакетов вредоносными программами. В PyPI сообщили, что среди зараженных пакетов были spam (версии 2.0.2 и 4.0.2) и exotel (версия 0.1.6). В настоящее время малварь уже удалили из репозитория.
Как сообщает администрация PyPI, после сообщений об атаках была проведена проверка, по результатам которой было выявлено и удалено «несколько сотен тайпсквоттов», соответствующих одному шаблону.
Известно, что вредоносный код, внедренный во взломанные пакеты, передавал имя компьютера пользователя на домен linkedopports[.]com, а затем загружал и запускал троян, обращавшийся с запросами к тому же домену.
В свете этой фишинговой атаки разработчикам в очередной раз напомнили о важности двухфакторной аутентификации, которая недавно уже стала обязательной для сопровождающих критически важных проектов. Также администраторы PyPI поделились рядом советов по защите от подобного фишинга, в том числе, рекомендовали внимательно проверять URL-адреса страниц перед предоставлением учетных данных от своей учетной записи.