PyPI管理員近日警告，一起網(wǎng)絡(luò)釣魚活動(dòng)盯上了Python代碼包索引（PyPI）的用戶，威脅如果用戶不讓代碼接受虛假的驗(yàn)證流程，就刪除代碼包。

PyPI管理員提醒用戶注意這個(gè)代碼庫(kù)（它使Python開發(fā)人員能夠發(fā)布和查找用于構(gòu)建軟件的代碼包），留意聲稱在實(shí)施“強(qiáng)制性‘驗(yàn)證’流程”的電子郵件。管理員發(fā)了一連串推文，概述這起騙局是如何運(yùn)作的。

郵件邀請(qǐng)PyPI用戶點(diǎn)擊一個(gè)鏈接來(lái)執(zhí)行驗(yàn)證，“否則代碼包有可能從PyPI中刪除”。管理員在帖子中向用戶保證，他們永遠(yuǎn)不會(huì)從PyPI刪除有效的項(xiàng)目，他們只會(huì)刪除被發(fā)現(xiàn)是惡意項(xiàng)目或違反公司服務(wù)條款的項(xiàng)目。

管理員稱，這起活動(dòng)前所未有：它竊取用戶憑據(jù)，將受感染的代碼包加載到代碼庫(kù)中。管理員特別指出，這起網(wǎng)絡(luò)釣魚活動(dòng)并不攻擊代碼存儲(chǔ)庫(kù)，以便通過(guò)軟件供應(yīng)鏈傳播惡意軟件。

據(jù)PyPI聲稱，實(shí)施這起騙局的攻擊者已成功竊取了幾個(gè)PyPI用戶的憑據(jù)，并將惡意軟件上傳到了他們維護(hù)的項(xiàng)目中，充當(dāng)這些項(xiàng)目的最新版本。

PyPI的推文顯示：“這些版本已被人從PyPI中刪除，維護(hù)者帳戶已被暫時(shí)凍結(jié)?！?/p>

騙局如何運(yùn)作？

據(jù)PyPI聲稱，最初的網(wǎng)絡(luò)釣魚郵件甩出了這個(gè)誘餌：谷歌支持新舊PyPI代碼包的驗(yàn)證流程。具有諷刺意味的是，郵件聲稱新流程是由于“上傳到PyPI.org域的惡意代碼包數(shù)量激增”。

該鏈接將用戶引到模仿PyPI登錄頁(yè)面的網(wǎng)絡(luò)釣魚站點(diǎn)，進(jìn)而竊取通過(guò)網(wǎng)絡(luò)釣魚站點(diǎn)sites[dot]google[dot]com/view/pypivalidate輸入的任何憑據(jù)。隨后數(shù)據(jù)被發(fā)送到域linkedopports[dot]com上的URL。

PyPI管理員無(wú)法確定該網(wǎng)絡(luò)釣魚站點(diǎn)是否旨在中繼轉(zhuǎn)發(fā)基于TOTP的雙因素代碼，但特別指出受硬件安全密鑰保護(hù)的帳戶不易受到攻擊。

代碼庫(kù)管理員正在積極審查報(bào)告的新惡意版本，確保將其刪除，以便恢復(fù)被盜用的帳戶，維護(hù)人員可以繼續(xù)使用PyPI。

供應(yīng)鏈成為焦點(diǎn)

當(dāng)下的潮流是，威脅分子盯上公共代碼庫(kù)，以便將惡意軟件分發(fā)到軟件供應(yīng)鏈，這起活動(dòng)卻一反常態(tài)。有缺陷的代碼可能成為威脅分子眼里的金礦，在開發(fā)人員或用戶不知情的情況下將中招代碼做入到眾多應(yīng)用程序或網(wǎng)站中后，惡意活動(dòng)的影響就大大擴(kuò)大。

Log4J案就清楚地表明了這一點(diǎn)，一款廣泛使用的Java日志工具中的一個(gè)缺陷影響了數(shù)百萬(wàn)個(gè)應(yīng)用程序，其中許多應(yīng)用程序仍然易受攻擊，而威脅分子最近加大了攻擊代碼庫(kù)的力度，以便通過(guò)供應(yīng)鏈快速傳播惡意代碼。

本月早些時(shí)候，在一家安全供應(yīng)商告知問(wèn)題后，PyPI從注冊(cè)中心刪除了10個(gè)惡意代碼包。威脅分子將惡意代碼嵌入到代碼包安裝腳本中，進(jìn)而攻擊注冊(cè)中心。

PyPI已意識(shí)到自己被盯上了，在過(guò)去這幾年已推出了多個(gè)安全項(xiàng)目，以便更好地保護(hù)用戶。

這些措施包括：添加雙因素身份驗(yàn)證（2FA）作為登錄選項(xiàng)，用于將軟件上傳到注冊(cè)中心的API令牌，確保pip代碼安裝程序安裝正確版本的代碼包依賴項(xiàng)的依賴項(xiàng)解析器，以及創(chuàng)建數(shù)據(jù)庫(kù)，列出PyPI項(xiàng)目中已知的Python漏洞。

挫敗攻擊

管理員表示，PyPI目前正努力使2FA在代碼庫(kù)上的項(xiàng)目當(dāng)中更普遍，已經(jīng)實(shí)施了2FA的PyPI用戶如果認(rèn)為帳戶已泄密，應(yīng)重置恢復(fù)代碼。

為了完全避免被網(wǎng)絡(luò)釣魚活動(dòng)盯上，PyPI用戶應(yīng)確認(rèn)任何聲稱來(lái)自PyPI的電子郵件的地址欄中的URL是http://pypi.org，該站點(diǎn)的TLS證書頒發(fā)給了http://pypi.org。管理員發(fā)推文稱，用戶還應(yīng)該考慮使用集成瀏覽器的密碼管理器。

他們表示，通過(guò)使用硬件安全密鑰或WebAuthn 2FA啟用2FA，也可以幫助PyPI用戶避免受到網(wǎng)絡(luò)釣魚活動(dòng)的影響。事實(shí)上，為了幫助加強(qiáng)保護(hù)，代碼庫(kù)目前為排名前1%的項(xiàng)目的維護(hù)者提供免費(fèi)硬件密鑰。

PyPI建議任何認(rèn)為自己已中招的用戶聯(lián)系security@pypi.org，提供有關(guān)發(fā)件人電子郵件地址和惡意站點(diǎn)URL的詳細(xì)信息，幫助管理員應(yīng)對(duì)該問(wèn)題。

本文翻譯自：https://www.darkreading.com/cloud/phishing-campaign-targets-pypi-users-to-distribute-malicious-code如若轉(zhuǎn)載，請(qǐng)注明原文地址。