Geliştiriciler arasında PyPI olarak daha iyi bilinen Python Paket Dizini, hizmeti kullanan geliştiricileri hedef alan bir kimlik avı saldırısı hakkında bir uyarı yayınladı.
Topluluk tarafından işletilen kuruluş, bunun PyPI kullanıcılarına karşı bilinen ilk kimlik avı saldırısı olduğunu söyledi. Ve saldırı ne yazık ki bir şekilde başarılı oldu ve bazı kullanıcıların hesaplarının ele geçirilmesine neden oldu.
PyPI, Python programcılarının uygulamaları için kod modülleri indirebilecekleri ve Python topluluğunun yararına yazılım kitaplıklarını barındırabilecekleri çevrimiçi bir paket kayıt defteridir.
Yazılım tedarik zinciri saldırıları son birkaç yılda arttı ve bu zincirin bir parçası olarak paket kayıtları, bir paket bakımcı hesabını ele geçirmek veya barındırılan bir paketi değiştirebilmek, daha fazla kötü amaçlı yazılım dağıtımını çok daha fazla yapabildiğinden, çevrimiçi saldırılar için sık sık hedef haline geldi. Daha kolay.
Kuruluş, “Kimlik avı mesajı, zorunlu bir ‘doğrulama’ sürecinin uygulandığını iddia ediyor ve kullanıcıları bir paketi doğrulamak için bir bağlantıyı takip etmeye veya paketin PyPI’den kaldırılmasını riske atmaya davet ediyor” dedi. Twitter aracılığıylageçerli projeleri hiçbir zaman kayıt defterinden kaldırmadığını, yalnızca hizmet şartlarını ihlal edenleri eklediğini de sözlerine ekledi.
Npm, RubyGems ve PyPI gibi popüler paket kayıtlarının çoğu aslında son birkaç aydır çok faktörlü kimlik doğrulama kullanımı gibi güvenlik gereksinimleri eklediğinden ve değişikliklerle ilgili ayrıntıları yayınladığı için kimlik avı konuşması ikna edici bir şekilde hazırlanmıştır. Bu bağlamda, daha ileri bir doğrulama sürecinin makul görünmesi daha olasıdır.
Tesadüfen, kötü niyetli kişiler, çok faktörlü kimlik doğrulama etrafında çalışmak için çabalarını hızlandırdı. Geçen Kasım ayında, güvenlik şirketi Sygnia, “2FA’nın üstesinden gelmek için Ortadaki Adam tekniğini kullanan” kimlik avı saldırılarında bir artış gördüğünü bildirdi.
PyPI’ye yönelik saldırı, birkaç ay önce kimlik doğrulama firması Okta’nın çalışanlarını hedef alan Oktapus adlı kısa süre önce açıklanan bir kimlik avı kampanyasını izliyor. Kimlik avcıları, kazanılan kimlik bilgileri ve 2FA kodları ile diğerlerinin yanı sıra pazarlama şirketi Klaviyo, e-posta hizmeti Mailchimp ve iletişim hizmeti Twilio’yu vurdu. PyPI kimlik avı e-postasının şu adresten gelmiş gibi görünmesi belki de dikkate değerdir. bir Mailchimp adresi.
PyPI’ye göre, kampanyada kullanılan kimlik avı bağlantısı, kuruluşun oturum açma sayfasını taklit eden ve kurbanın girdiği tüm kimlik bilgilerini çalan bir web sitesine yönlendiriyor. PyPI, veri hırsızlığı sitesinin TOTP tabanlı iki faktörlü kodları aktarıp aktaramayacağından emin değil, ancak donanım güvenlik anahtarlarıyla korunan hesapların güvenli olduğunu söylüyor.
Google Sites tarafından barındırılan kimlik avı sayfası, sites[dot]google[dot]com/view/pypivalidateçalınan kimlik bilgilerini etki alanına gönderir linkedopports[dot]com. Daha doğrusu sayfa kapatıldığından beri öyle oldu.
“Ayrıca, meşru projelerin bazı yürütücülerinin güvenliğinin ihlal edildiğini ve bu projeler için en son sürüm olarak kötü amaçlı yazılımların yayınlandığını belirledik.” söz konusu PyPI.
“Bu sürümler PyPI’den kaldırıldı ve bakıcı hesapları geçici olarak donduruldu.”
Kuruluş, kötü amaçlı sürümlere sahip iki paket belirledi:
exotel==0.1.6spam==2.0.2ve==4.0.2
Ek olarak, yüzlerce ilgili yazım hatası saldırısı kaldırıldı.
Kötü amaçlı sürümler, yine Linkedopports kullanarak benzer bir model izler.[dot]com. Şu anda, bildiğimiz kötü niyetli yayınlar şunlardır:- exotel==0.1.6- spam==2.0.2 ve ==4.0.2Aynı kalıba uyan birkaç yüz yazım yanlışını da kaldırdık. pic.twitter.com/MjvhWGNAz3
— Python Paket İndeksi (@pypi) 24 Ağustos 2022
Kimlik avı kampanyasının bir sonucu olarak PyPI, kritik projelerin sahiplerine ücretsiz donanım güvenlik anahtarları verdiğini duyurdu – bu, son altı ayda indirilen projelerin ilk yüzde 1’ini oluşturuyor. Yaklaşık 3.500 uygun proje var ve 1 Ekim’de uygun bakım sahipleri, ücretsiz gönderim dahil olmak üzere iki ücretsiz Titan Güvenlik Anahtarı (USB-C veya USB-A) için bir promosyon kodu kullanabilecekler. ®