Python Package Index (PyPI) đã tạm thời dừng đăng ký người dùng và việc tạo các dự án mới để đối phó với chiến dịch phần mềm độc hại đang diễn ra.
PyPI là một hạng mục dành cho các dự án Python giúp các lập trình viên tìm và cài đặt các gói Python.
Với hàng nghìn gói có sẵn, kho lưu trữ là mục tiêu hấp dẫn đối với những kẻ đe dọa, những kẻ thường tải lên các gói lỗi chính tả hoặc giả mạo để xâm phạm các nhà phát triển phần mềm và các cuộc tấn công chuỗi cung ứng tiềm năng.
Hoạt động như vậy đã buộc các quản trị viên PyPI sớm ngày 28 tháng 3 phải thông báo rằng tất cả đăng ký người dùng mới đã bị tạm dừng để cho phép giảm thiểu hoạt động độc hại.
Trạng thái nền tảng PyPI (BleepingComputer)
Chiến dịch phần mềm độc hại
Một báo cáo từ Checkmarx cho biết các tác nhân đe dọa đã bắt đầu tải lên các gói PyPI 365 từ hôm qua với những cái tên bắt chước các dự án hợp pháp.
Các gói này bao gồm mã độc trong tệp ‘setup.py’, tệp này thực thi khi cài đặt sẽ truy xuất payload bổ sung từ máy chủ từ xa.
Để tránh bị phát hiện, mã độc được mã hóa bằng mô-đun Fernet và URL của tài nguyên từ xa được xây dựng động khi cần.
Payload cuối cùng là một kẻ đánh cắp thông tin với khả năng liên tục nhắm mục tiêu dữ liệu được lưu trữ trong trình duyệt web, chẳng hạn như mật khẩu đăng nhập, cookie và tiện ích mở rộng tiền điện tử.
Payload của kẻ đánh cắp thông tin (Checkmarx)
Checkmarx nêu rõ trong báo cáo của mình danh sách đầy đủ các mục độc hại mà họ tìm thấy, trong đó có nhiều biến thể đánh máy cho nhiều gói hợp pháp.
Tuy nhiên, theo báo cáo từ Check Point, danh sách các gói độc hại lên tới hơn 500 và được triển khai theo hai giai đoạn. Các nhà nghiên cứu nói rằng mỗi gói có nguồn gốc từ các tài khoản người bảo trì duy nhất có tên và email riêng biệt.
Check Point giải thích: “Đáng chú ý là mỗi tài khoản người bảo trì chỉ tải lên một gói, cho thấy việc sử dụng tự động hóa trong việc dàn dựng cuộc tấn công”.
Các nhà nghiên cứu nói rằng tất cả các mục đều có cùng số phiên bản, chứa cùng một mã độc và các tên dường như được tạo thông qua quy trình ngẫu nhiên.
Sự cố này nhấn mạnh tầm quan trọng của việc các nhà phát triển phần mềm và nhà bảo trì gói sử dụng kho lưu trữ nguồn mở để xác minh nghiêm ngặt tính xác thực và bảo mật của các thành phần họ sử dụng trong dự án của mình.
Đây không phải là lần đầu tiên PyPI thực hiện các bước tích cực như vậy để bảo vệ cộng đồng của mình khỏi những nội dung gửi độc hại. Những người bảo trì kho lưu trữ đã thực hiện hành động tương tự vào năm ngoái, vào ngày 20 tháng 5.
Nguồn: bleepingcomputer.com
Vina Aspire là nhà cung cấp các giải pháp, dịch vụ CNTT, An ninh mạng, bảo mật & an toàn thông tin tại Việt Nam. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng.
Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Công ty Vina Aspire theo thông tin sau:
Email: info@vina-aspire.com | Tel: +84 944 004 666 | Fax: +84 28 3535 0668 | Website: www.vina-aspire.com
Vina Aspire – Vững bảo mật, trọn niềm tin
Nguồn : https://www.john-partners.us/pypi-tam-dung-dang-ky-nguoi-dung-moi-de-chan-chien-dich-phan-mem-doc-hai
