PyPI管理員近日警告，一起網(wǎng)絡釣魚活動盯上了Python代碼包索引（PyPI）的用戶，威脅如果用戶不讓代碼接受虛假的驗證流程，就刪除代碼包。

PyPI管理員提醒用戶注意這個代碼庫（它使Python開發(fā)人員能夠發(fā)布和查找用于構建軟件的代碼包），留意聲稱在實施“強制性‘驗證’流程”的電子郵件。管理員發(fā)了一連串推文，概述這起騙局是如何運作的。

郵件邀請PyPI用戶點擊一個鏈接來執(zhí)行驗證，“否則代碼包有可能從PyPI中刪除”。管理員在帖子中向用戶保證，他們永遠不會從PyPI刪除有效的項目，他們只會刪除被發(fā)現(xiàn)是惡意項目或違反公司服務條款的項目。

管理員稱，這起活動前所未有：它竊取用戶憑據(jù)，將受感染的代碼包加載到代碼庫中。管理員特別指出，這起網(wǎng)絡釣魚活動并不攻擊代碼存儲庫，以便通過軟件供應鏈傳播惡意軟件。

據(jù)PyPI聲稱，實施這起騙局的攻擊者已成功竊取了幾個PyPI用戶的憑據(jù)，并將惡意軟件上傳到了他們維護的項目中，充當這些項目的最新版本。

PyPI的推文顯示：“這些版本已被人從PyPI中刪除，維護者帳戶已被暫時凍結。”

騙局如何運作？

據(jù)PyPI聲稱，最初的網(wǎng)絡釣魚郵件甩出了這個誘餌：谷歌支持新舊PyPI代碼包的驗證流程。具有諷刺意味的是，郵件聲稱新流程是由于“上傳到PyPI.org域的惡意代碼包數(shù)量激增”。

該鏈接將用戶引到模仿PyPI登錄頁面的網(wǎng)絡釣魚站點，進而竊取通過網(wǎng)絡釣魚站點sites[dot]google[dot]com/view/pypivalidate輸入的任何憑據(jù)。隨后數(shù)據(jù)被發(fā)送到域linkedopports[dot]com上的URL。

PyPI管理員無法確定該網(wǎng)絡釣魚站點是否旨在中繼轉發(fā)基于TOTP的雙因素代碼，但特別指出受硬件安全密鑰保護的帳戶不易受到攻擊。

代碼庫管理員正在積極審查報告的新惡意版本，確保將其刪除，以便恢復被盜用的帳戶，維護人員可以繼續(xù)使用PyPI。

供應鏈成為焦點

當下的潮流是，威脅分子盯上公共代碼庫，以便將惡意軟件分發(fā)到軟件供應鏈，這起活動卻一反常態(tài)。有缺陷的代碼可能成為威脅分子眼里的金礦，在開發(fā)人員或用戶不知情的情況下將中招代碼做入到眾多應用程序或網(wǎng)站中后，惡意活動的影響就大大擴大。

Log4J案就清楚地表明了這一點，一款廣泛使用的Java日志工具中的一個缺陷影響了數(shù)百萬個應用程序，其中許多應用程序仍然易受攻擊，而威脅分子最近加大了攻擊代碼庫的力度，以便通過供應鏈快速傳播惡意代碼。

本月早些時候，在一家安全供應商告知問題后，PyPI從注冊中心刪除了10個惡意代碼包。威脅分子將惡意代碼嵌入到代碼包安裝腳本中，進而攻擊注冊中心。

PyPI已意識到自己被盯上了，在過去這幾年已推出了多個安全項目，以便更好地保護用戶。

這些措施包括：添加雙因素身份驗證（2FA）作為登錄選項，用于將軟件上傳到注冊中心的API令牌，確保pip代碼安裝程序安裝正確版本的代碼包依賴項的依賴項解析器，以及創(chuàng)建數(shù)據(jù)庫，列出PyPI項目中已知的Python漏洞。

挫敗攻擊

管理員表示，PyPI目前正努力使2FA在代碼庫上的項目當中更普遍，已經(jīng)實施了2FA的PyPI用戶如果認為帳戶已泄密，應重置恢復代碼。

為了完全避免被網(wǎng)絡釣魚活動盯上，PyPI用戶應確認任何聲稱來自PyPI的電子郵件的地址欄中的URL是http://pypi.org，該站點的TLS證書頒發(fā)給了http://pypi.org。管理員發(fā)推文稱，用戶還應該考慮使用集成瀏覽器的密碼管理器。

他們表示，通過使用硬件安全密鑰或WebAuthn 2FA啟用2FA，也可以幫助PyPI用戶避免受到網(wǎng)絡釣魚活動的影響。事實上，為了幫助加強保護，代碼庫目前為排名前1%的項目的維護者提供免費硬件密鑰。

PyPI建議任何認為自己已中招的用戶聯(lián)系security@pypi.org，提供有關發(fā)件人電子郵件地址和惡意站點URL的詳細信息，幫助管理員應對該問題。

本文翻譯自：https://www.darkreading.com/cloud/phishing-campaign-targets-pypi-users-to-distribute-malicious-code如若轉載，請注明原文地址。