Der Python Package Index (PyPI) schlug am Mittwoch Alarm wegen einer laufenden Phishing-Kampagne, die darauf abzielt, Anmeldedaten von Entwicklern zu stehlen und bösartige Updates in legitime Pakete einzuschleusen.
„Dies ist der erste bekannte Phishing-Angriff auf PyPI“, erklärten die Betreiber des offiziellen Software-Repository für Drittanbieter in einer Reihe von Tweets.
Bei dem Social-Engineering-Angriff werden Nachrichten mit Sicherheitsthemen verschickt, die ein falsches Gefühl der Dringlichkeit vermitteln, indem sie die Empfänger darüber informieren, dass Google einen obligatorischen Validierungsprozess für alle Pakete einführt und dass sie auf einen Link klicken müssen, um die Validierung vor September abzuschließen, sonst riskieren sie, dass ihre PyPI-Module entfernt werden.
Fällt ein ahnungsloser Entwickler auf die Masche herein, werden die Nutzer auf eine ähnlich aussehende Landing Page weitergeleitet, die die Anmeldeseite von PyPI imitiert und auf Google Sites gehostet wird. Von dort aus werden die eingegebenen Anmeldedaten erfasst und missbraucht, um unbefugt auf die Konten zuzugreifen und die Pakete zu kompromittieren, um Malware einzuschleusen.
Die Modifikationen sind ihrerseits so konzipiert, dass sie eine Datei von einem entfernten Server herunterladen. „Diese Malware ist untypisch groß (~63 MB) und hat eine gültige Signatur (signiert am 23. August 2022)“, so Aviad Gershon, Forscher bei Checkmarx.
„Diese Veröffentlichungen wurden aus der PyPI entfernt und die Konten der Betreuer vorübergehend eingefroren“, so PyPI. Drei der bisher betroffenen Pakete sind „deep-translator“, „exotel“ und „spam“. Außerdem sollen mehrere hundert Typosquats entfernt worden sein.
Die PyPI sagt auch, dass sie Berichte über neue betrügerische Pakete aktiv überwacht und dafür sorgt, dass sie entfernt werden. Entwickler/innen, die glauben, dass sie kompromittiert wurden, sollten ihre Passwörter mit sofortiger Wirkung zurücksetzen, 2FA-Wiederherstellungscodes zurücksetzen und die PyPI-Kontoprotokolle auf anomale Aktivitäten überprüfen.
Der Phishing-Angriff ist ein weiteres Zeichen dafür, dass das Open-Source-Ökosystem zunehmend von Bedrohungsakteuren bedroht wird, die sich Bibliotheken und Projekte zunutze machen, die in die Struktur verschiedener Anwendungen eingebettet sind, um Angriffe auf die Lieferkette durchzuführen, die kaskadenartige Auswirkungen haben können.
Anfang dieses Monats entdeckten Forscher von Checkmarx zwei bösartige Python-Pakete – typing-unions und aiogram-types -, die sich als die beliebten Pakete typing und aiogram ausgaben, um Entwickler dazu zu bringen, sie herunterzuladen und ihre Rechner mit Cobalt Strike zu infizieren.
Bei einem anderen groß angelegten Angriff veröffentlichte ein Bedrohungsakteur ein Dutzend typosquatted Pakete unter den Namen weit verbreiteter Projekte mit leichten Abwandlungen, um eine mehrstufige persistente Malware auf kompromittierten Systemen zu installieren.
Die Entwicklung kommt auch mehr als zwei Monate, nachdem die Registry damit begonnen hat, eine obligatorische Zwei-Faktor-Authentifizierung (2FA) für als „kritisch“ eingestufte Projekte einzuführen.
Update: Nach dem Phishing-Angriff hat die PyPI mitgeteilt, dass sie die Voraussetzungen für die Teilnahme am Hardware-Sicherheitsschlüssel-Programm überarbeitet hat. „Jeder Betreuer eines kritischen Projekts, unabhängig davon, ob er bereits TOTP-basierte 2FA aktiviert hat, ist jetzt berechtigt“, heißt es dort.