Python Package Index (PyPI), podrazumijevana platforma za alate za upravljanje Python paketima, upozorila je svoje korisnike na novu fišing kampanju koja koristi domensku konfuziju kako bi ukrala akreditive.
Napad, koji je nastavak kampanje sprovedene u julu, uključuje lažne poruke u kojima se od korisnika traži da verifikuju svoju email adresu iz bezbjednosnih razloga, uz tvrdnju da će nalozi biti suspendovani ukoliko to ne urade.
„Ovaj email je lažan, a link vodi na pypi-mirror.org, što je domen koji ne pripada PyPI-ju niti Python Software Foundationu (PSF)“, upozorio je Seth Larson, PSF security developer-in-residence.
Larson objašnjava da postavljanje fišing-otporne višefaktorske autentifikacije (MFA) pomaže PyPI održavaocima da ublaže rizike povezane sa ovakvim napadima. Oni koji su kliknuli na linkove u ovim emailovima i unijeli svoje akreditive na lažnom sajtu savjetuju se da odmah promijene lozinke, provjere istoriju aktivnosti na svom nalogu i prijave sumnjive radnje.
Kampanja podsjeća na nedavni fišing napad usmjeren na NPM održavaoce paketa, gdje su hakeri slali emailove tražeći ažuriranje MFA podataka kako bi se izbjegla suspenzija naloga. Taj napad je uspio prevariti nekoliko administratora, uključujući Josha Junona (Qix), koji održava 18 paketa sa preko 2,5 milijardi nedjeljnih preuzimanja, što je rezultiralo objavljivanjem desetina malicioznih verzija kompromitovanih paketa na NPM registru.
Posljednjih godina hakeri sve češće ciljaju open-source ekosistem radi distribucije malvera i sprovođenja velikih napada na lance snabdijevanja.
„Hakeri pronalaze različite načine da ukradu akreditive za cloud naloge koji su ključni za razvoj softvera u preduzećima. Ove taktike im omogućavaju da identifikuju mnogo više ciljanih organizacija (kupaca) i da kompromitaciju unovče na različite načine“, izjavio je Jim Routh, chief trust officer u kompaniji Saviynt.
„Preduzeća imaju priliku da efikasnije upravljaju rizikom od ovakvih kompromitacija akreditiva kroz napredne metode autentifikacije, upravljanje pristupom cloud nalozima i privilegovanim korisnicima, koristeći tehnike kontinuirane validacije“, dodao je Routh.
Izvor: SecurityWeek
