Ataque de digitação
Parece que todas as medidas de segurança em aqueles que têm trabalhado no repositório de pacotes Python PyPI (Índice de pacotes Python), Eles não foram de muita utilidade, Pois embora obriguem os usuários a usar a autenticação de dois fatores e implementem medidas de segurança para evitar ao máximo a introdução de pacotes maliciosos, eles ainda continuam a ter um grande número de problemas com isso.
E um dos grandes problemas que assola o NPM é o carregamento flagrante de pacotes maliciosos, que é um problema que tem tido nos últimos anos e não tem conseguido erradicar e a razão para mencionar isto é que esta situação é a mesma que PyPi está enfrentando, embora em menor grau, uma vez que foram feitas tentativas de implementar vários filtros de segurança, e menciono tentar porque pacotes maliciosos continuam a aparecer.
A razão para mencionar isso é que Recentemente foi imposta uma proibição temporária ao registo de novos utilizadores e à criação de novos projetos no repositório de pacotes Python PyPI devido ao ataque automatizado contínuo o que levou ao download massivo de pacotes maliciosos. A medida foi tomada após o upload de 566 pacotes com códigos maliciosos, que Eles imitaram o estilo de 16 bibliotecas Python populares, no repositório durante os dias 26 e 27 de março.
Os nomes desses pacotes maliciosos Eles são formados por meio de técnicas de typosquatting, que consistem em atribuir nomes semelhantes, mas com diferenças mínimas nos caracteres individuais. Por exemplo, nomes como "temsorflow" são usados em vez de "tensorflow", "requyests" em vez de "requests", "asyincio" em vez de "asyncio", entre outros. Esses ataques aproveitam usuários distraídos, que podem cometer erros de digitação ao pesquisar ou seguir links em fóruns e chats onde os invasores deixam instruções enganosas.
Pacotes maliciosos Eles são baseados em códigos de bibliotecas legítimas e incluem alterações que instalam malware no sistema. Este malware procura e envia dados e arquivos confidenciais, como senhas, chaves de acesso, carteiras criptografadas, tokens e cookies de sessão. O código malicioso está embutido no arquivo setup.py, que é executado durante a instalação do pacote e, quando ativado, baixa componentes maliciosos de um servidor externo.
Este ataque automatizado de typosquat foi realizado durante algumas horas em algumas rajadas rápidas, viu o lançamento de mais de 500 pacotes e teve como alvo 16 pacotes PyPI populares. Embora a resposta rápida e contundente do PyPI certamente tenha ajudado a mitigar as consequências deste ataque, vale a pena notar que nem todos os ecossistemas são tão rápidos e eficazes ao lidar com tal ataque.
O ataque ao repositório PyPI foi bastante extenso e afetou várias bibliotecas Python populares. Os invasores conseguiram baixar variantes maliciosas de pacotes como TensorFlow, BeautifulSoup, PyGame, SimpleJson, Matplotlib, PyTorch, CustomTKInter, Selenium, Dramaturgo, Asincio e Request. Além disso, foram identificados casos isolados de falsificação de bibliotecas como py-cord, colorama, capmonstercloudclient, pillow e bip-utils.
Em relação ao ataque à comunidade Top.gg, o invasor comprometeu a conta GitHub de um dos desenvolvedores, permitindo-lhe roubar cookies do navegador e fazer alterações maliciosas.
Três pacotes maliciosos foram adicionados ao repositório PyPI e domínios falsos foram registrados para distribuir dependências de pacotes maliciosos. Através de uma conta hackeada, foi feita uma alteração no repositório GitHub do projeto Top.gg, onde foi adicionado um arquivo requisitos.txt contendo um link para um clone malicioso do pacote “colorama” hospedado em um domínio falso. O objetivo era induzir os desenvolvedores a baixar a versão maliciosa do pacote, já que o domínio falso se assemelhava ao domínio legítimo usado para baixar pacotes do PyPI.
Esses ataques destacam a importância da segurança nos repositórios de pacotes e a necessidade de usuários e desenvolvedores estarem atentos a possíveis tentativas de comprometer a segurança e baixar malware.
se você é euInteressado em aprender mais sobre isso, você pode verificar os detalhes no link a seguir