PyPI из-за чрезмерной активности злоумышленников на два дня закрыл регистрацию новых пользователей и проектов
Репозиторий Python-пакетов PyPI (Python Package Index) из-за чрезмерной вредоносной активности злоумышленников на два дня приостанавливал регистрацию новых пользователей и проектов. Это произошло 20 и 21 мая из-за высокой нагрузки на сотрудников в то время, когда сразу несколько администраторов PyPI находились в отпуске. В настоящее время ограничение снято.
Разработчики пояснили, что из-за всплеска активности злоумышленников, наладивших публикацию пакетов с вредоносным кодом, объём зарегистрированных вредоносных проектов в репозитории превысил возможности оставшейся команды PyPI по оперативному реагированию.
Разработчики пообещали за несколько дней перестроить внутренние процессы проверки, чтобы как можно быстрее возобновить возможность регистрации пользователей и проектов в репозитории PyPI.
Согласно статистике системы мониторинга вредоносной активности Sonatype, в марте 2023 года в каталоге PyPI найдено 6933 вредоносных пакета, а всего с 2019 года число выявленных вредоносных пакетов превысило 115 тыс. В декабре 2022 года в результате атаки на каталоги NuGet, NPM и PyPI была зафиксирована публикация 144 тыс. пакетов с кодом для фишинга и спама.
По информации ресурса OpenNET, большинство вредоносных пакетов в репозитории PyPI маскируются под популярные библиотеки при помощи тайпсквотинга (назначение похожих имён, отличающихся отдельными символами, например, exampl вместо example, djangoo вместо django, pyhton вместо python). Злоумышленники рассчитывают на невнимательных пользователей, совершивших опечатку или не заметивших отличий в названии при поиске. Вредоносные действия обычно сводятся к отправке конфиденциальных данных, найденных на локальной системе в результате определения типовых файлов с паролями, ключами доступа, криптокошельками, токенами, сессионными Cookie и другой конфиденциальной информацией.
