El Python Package Index, más conocido entre los desarrolladores como PyPI, emitió una advertencia sobre un ataque de phishing dirigido a los desarrolladores que usan el servicio.
La organización dirigida por la comunidad dijo que este es el primer ataque de phishing conocido contra los usuarios de PyPI. Y, lamentablemente, el ataque ha tenido algo de éxito, lo que ha puesto en peligro las cuentas de algunos usuarios.
PyPI es un registro de paquetes en línea donde los programadores de Python pueden descargar módulos de código para sus aplicaciones y pueden alojar bibliotecas de software en beneficio de la comunidad de Python.
Los ataques a la cadena de suministro de software han aumentado en los últimos años y los registros de paquetes, como parte de esa cadena, se han convertido en objetivos frecuentes de los ataques en línea porque el secuestro de una cuenta de mantenedor de paquetes, o la posibilidad de alterar un paquete alojado, puede dificultar mucho más la distribución de malware más fácil.
“El mensaje de phishing afirma que se está implementando un proceso de ‘validación’ obligatorio e invita a los usuarios a seguir un enlace para validar un paquete, o de lo contrario arriesgarse a que el paquete sea eliminado de PyPI”, dijo la organización a través de Twitter , y agregó que nunca elimina proyectos válidos del registro, solo aquellos que violan los términos de servicio.
El argumento de phishing está diseñado de manera convincente porque muchos de los registros de paquetes populares como npm , RubyGems y PyPI , de hecho, han estado agregando requisitos de seguridad como el uso de autenticación multifactor en los últimos meses y publicando detalles sobre los cambios. En ese contexto, es más probable que parezca plausible un proceso de validación adicional.
Coincidentemente, los malhechores han intensificado sus esfuerzos para evitar la autenticación de múltiples factores. En noviembre pasado, la firma de seguridad Sygnia informó haber visto un aumento en los ataques de phishing “que utilizan una técnica Man-in-the-Middle para superar 2FA”.
El ataque contra PyPI sigue a una campaña de phishing recientemente revelada denominada Oktapus que se dirigió a los empleados de la firma de autenticación Okta hace varios meses. Con las credenciales y los códigos 2FA obtenidos, los phishers atacaron a la empresa de marketing Klaviyo, el servicio de correo electrónico Mailchimp y el servicio de comunicaciones Twilio , entre otros. Quizás sea digno de mención que el correo electrónico de phishing de PyPI parece provenir de una dirección de Mailchimp .
Según PyPI, el enlace de phishing implementado en la campaña conduce a un sitio web que imita la página de inicio de sesión de la organización y roba las credenciales que ingresa la víctima. PyPI no está seguro de si el sitio de robo de datos es capaz de transmitir códigos de dos factores basados en TOTP, pero dice que las cuentas protegidas con claves de seguridad de hardware son seguras.
La página de phishing alojada en Google Sites, en sites[dot]google[dot]com/view/pypivalidate
, envía las credenciales robadas al dominio linkedopports[dot]com
. O más bien lo hizo desde que se eliminó la página.
“Además, hemos determinado que algunos mantenedores de proyectos legítimos se han visto comprometidos y se ha publicado malware como la última versión de esos proyectos”, dijo PyPI.
“Estas versiones se han eliminado de PyPI y las cuentas de mantenimiento se han congelado temporalmente”.
La organización identificó dos paquetes con versiones maliciosas:
exotel==0.1.6
spam==2.0.2
y==4.0.2
Además, se han eliminado varios cientos de ataques de typosquatting relacionados.
Como resultado de la campaña de phishing, PyPI anunció que está regalando claves de seguridad de hardware gratuitas a los encargados del mantenimiento de proyectos críticos: el 1 por ciento de los principales proyectos por descargas en los últimos seis meses. Hay alrededor de 3500 proyectos calificados y, aunque el 1 de octubre, los mantenedores elegibles podrán canjear un código de promoción por dos llaves de seguridad Titan gratuitas (ya sea USB-C o USB-A), incluido el envío gratuito.
Es un conocido experto en seguridad móvil y análisis de malware. Estudió Ciencias de la Computación en la NYU y comenzó a trabajar como analista de seguridad cibernética en 2003. Trabaja activamente como experto en antimalware. También trabajó para empresas de seguridad como Kaspersky Lab. Su trabajo diario incluye investigar sobre nuevos incidentes de malware y ciberseguridad. También tiene un profundo nivel de conocimiento en seguridad móvil y vulnerabilidades móviles.