شرکت PyPI به توسعهدهندگان و کاربران خود در مورد کمپین فیشینگی که آنها را نشانه گرفته، هشدار داد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، Python Package Index که در میان توسعهدهندگان با نام PyPI شناخته میشود، هشداری را درباره حمله فیشینگی که توسعهدهندگان استفادهکننده از این سرویس را هدف گرفته، منتشر کرده است.
این سازمان گفت که این اولین
حمله فیشینگ شناخته شده علیه کاربران PyPI است و متأسفانه، این حمله تا حدودی موفقیتآمیز بوده و درنتیجه حسابهای برخی از کاربران به خطر افتاده است.
سرویس PyPI یک رجیستری بسته آنلاین است که برنامهنویسان پایتون میتوانند در آن ماژولهای کد را برای برنامههایشان دانلود کنند و همچنین میتوانند کتابخانههای نرمافزاری را به نفع جامعه پایتون میزبانی کنند.
حملات به زنجیره تأمین نرمافزار در چند سال گذشته افزایش یافته است و ثبت بستهها به عنوان بخشی از این زنجیره به اهدافی مکرر برای حملات آنلاین تبدیل شدهاند زیرا ربودن حساب نگهدارنده بسته یا تغییر بسته میزبانی شده، میتواند باعث توزیع آسانتر بدافزار شود.
این سازمان در توئیتر گفت: پیام فیشینگ ادعا میکند که یک فرایند «اعتبارسنجی» اجباری در حال اجرا است و از کاربران دعوت میکند تا پیوندی را برای تأیید اعتبار یک بسته دنبال کنند یا در غیر این صورت، خطر حذف بسته از PyPI را تهدید میکنند.
این سازمان همچنین افزود که PyPI پروژههای معتبر را از رجیستری حذف نمیکند و فقط آنهایی حذف خواهند شد که شرایط خدمات را نقض میکنند.
این فیشینگ به طرز قانعکنندهای ساخته شده است، زیرا بسیاری از رجیستریهای بسته محبوب مانند npm، RubyGems و PyPI در واقع در چند ماه گذشته الزامات امنیتی مانند استفاده از احراز هویت چند-مرحلهای و انتشار جزئیات تغییرات را اضافه کردهاند. در این زمینه، یک فرایند اعتبارسنجی بیشتر محتملتر به نظر میرسد.
سودجویان تلاشها را برای کار در مورد احراز هویت چند مرحلهای افزایش دادهاند. نوامبر گذشته، شرکت امنیتی Sygnia گزارش داد که شاهد افزایش حملات فیشینگ بودهاند که این حملات از تکنیک Man-in-the-Middle برای غلبه بر ۲FA استفاده میکنند.
حمله به PyPI به دنبال یک کمپین فیشینگ اخیراً فاش شده به نام Oktapus انجام میشود که چندین ماه پیش کارمندان شرکت احراز هویت Okta را هدف گرفت. با به دست آوردن اعتبار و کدهای ۲FA، فیشرها به شرکت بازاریابی Klaviyo، سرویس ایمیل Mailchimp و خدمات ارتباطی Twilio و غیره ضربه زدند. شاید قابل توجه باشد که به نظر می رسد ایمیل فیشینگ PyPI از یک آدرس Mailchimp آمده باشد.
به گفته PyPI، پیوند فیشینگ مستقر در کمپین به وبسایتی منتهی میشود که شبیه به صفحه ورود این سازمان است و هرگونه کاراکتری را که قربانی وارد میکند، میدزدد. PyPI مطمئن نیست که سایت سرقت داده قادر به انتقال کدهای دوعاملی مبتنی بر TOTP است یا خیر، اما میگوید حسابهای محافظت شده با کلیدهای امنیتی سختافزاری ایمن هستند.
صفحه فیشینگ میزبانی شده توسط Google Sites، در sites[dot]google[dot]com/view/pypivalidate، اطلاعات کاربری سرقت شده را به دامنه linkedopports[dot]com ارسال میکند یا بهتر است بگوییم از زمانی که صفحه حذف شده، این کار را انجام داده است.
PyPI گفت: علاوه بر این، تشخیص دادهایم که برخی از نگهدارندههای پروژههای قانونی در معرض خطر قرار گرفتهاند و بدافزار بهعنوان آخرین نسخه برای آن پروژهها منتشر شده است. این نسخهها از PyPI حذف شدهاند و حسابهای نگهدارنده به طور موقت مسدود شدهاند.
این سازمان دو بسته را با نسخههای مخرب شناسایی کرد:
• exotel==۰.۱.۶
• هرزنامه==۲.۰.۲ و ==۴.۰.۲
علاوه بر این، موارد زیادی از حملات مربوط به تایپودر سکوت حذف شده است.
درنتیجه کمپین فیشینگ، PyPI اعلام کرد که کلیدهای امنیتی سختافزاری رایگان را در اختیار نگهدارندگان پروژههای حیاتی، یعنی یک درصد برتر پروژهها بر اساس دانلود در شش ماه گذشته قرار میدهد. حدود سههزار و پانصد پروژه واجد شرایط وجود دارد و نگهدارندههای واجد شرایط از یک اکتبر میتوانند کد تبلیغاتی را برای دو کلید امنیتی Titan (یا USB-C یا USB-A) ازجمله ارسال رایگان خرید کنند.