W ostatnich dniach pojawiła się zorganizowana kampania phishingowa wymierzona w użytkowników PyPI – głównego repozytorium pakietów dla języka Python. Hakerzy rozsyłają fałszywe wiadomości e-mail, podszywając się pod administratorów PyPI i nakłaniają do „ponownej weryfikacji” adresu e-mail. Wiadomość zawiera link prowadzący do złośliwej strony, łudząco przypominającej oryginalną witrynę PyPI.
Administratorzy portalu potwierdzili, że nie doszło do bezpośredniego włamania na ich serwery. Nieznani napastnicy zamiast tego obrali inną drogę – wykorzystali zaufanie, jakim użytkownicy darzą PyPI, i spróbowali przejąć loginy oraz hasła poprzez perfekcyjnie przygotowaną fałszywą witrynę. Wystarczyło kliknąć w otrzymany link, by trafić na stronę podszywającą się pod oficjalny serwis. Tam użytkownik był proszony o podanie swoich danych logowania, które po wpisaniu trafiały bezpośrednio do rąk atakujących.
Wiadomości były rozsyłane na adresy e-mail powiązane z projektami opublikowanymi w repozytorium. Temat brzmiał „Weryfikacja adresu e-mail [PyPI]”, a nadawcą był rzekomo [email protected] – niemal identyczny adres jak ten wykorzystywany przez prawdziwych administratorów serwisu.
Zagrożony cały łańcuch zależności
Dane dostępowe pozyskane w ten sposób mogą posłużyć do umieszczania złośliwych wersji bibliotek w repozytoriach, które później są instalowane przez nieświadomych użytkowników końcowych. Eksperci ds. bezpieczeństwa ostrzegają, że to klasyczny atak, którego efekty mogą być odczuwalne przez całą społeczność. Nawet jeśli główne repozytorium pozostanie nienaruszone, wystarczy jeden słaby punkt w powiązanym projekcie, by otworzyć drogę do rozprzestrzenienia złośliwego oprogramowania.
Podobne scenariusze miały już miejsce w przeszłości – zarówno na platformie PyPI, jak i w innych popularnych repozytoriach, takich jak GitHub czy NPM. W 2024 roku PyPI zmuszone było nawet zawiesić rejestrację nowych projektów w odpowiedzi na falę ataków, podczas których publikowano setki złośliwych pakietów.
Odpowiedź PyPI i reakcja społeczności
Administratorzy portalu nie pozostali bierni. Oprócz opublikowania oficjalnego ostrzeżenia i umieszczenia baneru informacyjnego na stronie głównej, podjęto działania mające na celu likwidację fałszywej witryny. Wysłano zgłoszenia do rejestratorów domen oraz dostawców usług CDN, powołując się na naruszenie praw autorskich. Tego typu zawiadomienia zwykle prowadzą do szybkiego zablokowania złośliwych serwisów.
Choć sytuacja została opanowana, eksperci nie mają złudzeń: zagrożenie pozostaje realne. Programiści korzystający z PyPI muszą wykazać się wzmożoną ostrożnością, szczególnie w kontekście rosnącej liczby ataków na łańcuchy dostaw. Nawet niewielkie repozytorium może zostać wykorzystane jako kanał do rozprzestrzenienia malware’u, jeśli zostanie zinfiltrowane przez atakujących.
Pokaż / Dodaj komentarze do: Programiści na celowniku. Uważajcie na takie repozytoria