Το PyPI (Python Package Index) έχει προσωρινά αναστείλει τη δυνατότητα νέων εγγραφών χρηστών λόγω της αύξησης κακόβουλων ενεργειών που παρουσιάζονταν ως μέρος της καμπάνιας typosquatting.

Αυτό το περιστατικό, που διήρκεσε 10 ώρες μέχρι τις 28 Μαρτίου 2024, είχε ως στόχο να εξομαλύνει την σχέση των προγραμματιστών με ψευδείς εκδόσεις δημοφιλών πακέτων.

«Πρόκειται για μια επίθεση πολλαπλών σταδίων με το κακόβουλο ωφέλιμο φορτίο να στοχεύει στην κλοπή κρυπτονομισμάτων, ευαίσθητων δεδομένων από προγράμματα περιήγησης (cookies, δεδομένα επεκτάσεων κ.λπ.) και διάφορων διαπιστευτηρίων», δήλωσαν οι ερευνητές Yehuda Gelb, Jossef Harush Kadouri και Tzachi Zornstain. “Επιπλέον, το κακόβουλο φορτίο χρησιμοποίησε έναν μηχανισμό για να υπομένει τις συνεχείς επανεκκινήσεις”.

Οι εταιρείες ασφαλείας Checkmarx και Mend.io ανέδειξαν τους παράγοντες κινδύνου που απειλούσαν τους χρήστες με πάνω από 100 κακόβουλα πακέτα, επικεντρώνοντας την προσοχή τους σε βιβλιοθήκες μηχανικής μάθησης όπως τα Pytorch, Matplotlib και Selenium.

Η επίθεση, με τη χρήση τυπογραφικών καταθέσεων, περιλάμβανε τη μεταφόρτωση παραπλανητικών παραλλαγών νόμιμων ονομάτων πακέτων, συνολικά πάνω από 500 πακέτα, υποδεικνύοντας αυτοματοποίηση στη διαδικασία. Κάθε πακέτο ανατέθηκε σε διαφορετικό χρήστη, δυσκολεύοντας τις προσπάθειες αναγνώρισης. Οι παραλλαγές περιλάμβαναν το Matplotlib και το tensorflow. Αυτά τα πακέτα, μέσω της ανίχνευσης συστημάτων Windows, θα λάμβαναν και θα εκτελούσαν ωφέλιμα φορτία από ένα ελεγχόμενο domain (“funcaptcha[.]ru”).

Αυτή η περίπτωση υπογραμμίζει την ευάλωτη φύση των αποθετηρίων ανοιχτού κώδικα έναντι κινδύνων διείσδυσης, επισημαίνοντας την ανάγκη για ενίσχυση των μέτρων κυβερνοασφάλειας.