O Python Package Index, mais conhecido entre os desenvolvedores como PyPI, emitiu um alerta sobre um ataque de phishing direcionado a desenvolvedores que usam o serviço nesta que seria a primeira campanha de phishing contra seus usuários.
A organização administrada pela comunidade disse que este é o primeiro ataque de phishing conhecido contra usuários do PyPI. E o ataque infelizmente teve algum sucesso, resultando no comprometimento das contas de alguns usuários.
PyPI é um registro de pacotes online onde os programadores Python podem baixar módulos de código para seus aplicativos. Além disso, podem hospedar bibliotecas de software para o benefício da comunidade Python.
Os ataques à cadeia de suprimentos de software aumentaram nos últimos anos. Assim, os registros de pacotes, como parte dessa cadeia, tornaram-se alvos frequentes de ataques online porque o sequestro de uma conta de mantenedor de pacote ou a capacidade de alterar um pacote hospedado pode tornar a distribuição de malware muito mais mais fácil.
“A mensagem de phishing afirma que há um processo obrigatório de ‘validação’ e convida os usuários a seguir um link para validar um pacote ou arriscar que o pacote seja removido do PyPI”, disse a organização via Twitter, acrescentando que nunca remove projetos válidos do registro, apenas aqueles que violam os termos de serviço.
PyPI alerta para a primeira campanha de phishing contra usuários
O argumento de phishing ocorre de forma convincente. Isso porque muitos dos registros de pacotes populares, como npm, RubyGems e PyPI, na verdade, adicionaram requisitos de segurança como o uso de autenticação multifator nos últimos meses e publicaram detalhes sobre as alterações. Nesse contexto, é mais provável que um processo de validação posterior pareça plausível.
Coincidentemente, os criminosos intensificaram os esforços para contornar a autenticação multifator. Em novembro passado, a empresa de segurança Sygnia relatou ter visto um aumento nos ataques de phishing “que utilizam uma técnica Man-in-the-Middle para superar o 2FA”.
O ataque contra o PyPI segue uma campanha de phishing recentemente divulgada, apelidada de Oktapus. Ela tinha como alvo funcionários da empresa de autenticação Okta há vários meses. Com as credenciais e os códigos 2FA obtidos, os phishers atingiram a empresa de marketing Klaviyo, o serviço de e-mail Mailchimp e o serviço de comunicações Twilio, entre outros. Talvez seja digno de nota que o e-mail de phishing do PyPI parece ter vindo de um endereço do Mailchimp.
Detalhes do ataque
De acordo com o PyPI, o link de phishing leva a um site que imita a página de login da organização. Então rouba todas as credenciais inseridas pela vítima. O PyPI não tem certeza se o site de roubo de dados é capaz de retransmitir códigos de dois fatores com base em TOTP. No entanto, diz que as contas protegidas com chaves de segurança de hardware são seguras.
A página de phishing era hospedada no Google Sites, em sites[dot]google[dot]com/view/pypivalidate, enviava as credenciais roubadas para o domínio linkedopports[dot]com.
“Além disso, determinamos que alguns mantenedores de projetos legítimos foram comprometidos e o malware publicado como a versão mais recente desses projetos”, disse a equipe do PyPI.
“Esses lançamentos tiveram remoção do PyPI e as contas do mantenedor tiveram congelamento temporariamente.”
A organização identificou dois pacotes com versões maliciosas:
exotel==0.1.6spam==2.0.2e==4.0.2
Além disso, várias centenas de ataques de typosquatting tiveram remoção imediata.
Como resultado da campanha de phishing, a PyPI anunciou que está distribuindo chaves de segurança de hardware gratuitas para os mantenedores de projetos importantes. Isso representa 1% principal dos projetos por downloads nos últimos seis meses. Existem cerca de 3.500 projetos qualificados. Assim, em 1º de outubro, os mantenedores qualificados poderão resgatar um código promocional. Eles terão duas chaves de segurança Titan gratuitas (USB-C ou USB-A), incluindo frete grátis.