PyPI管理員近日警告，一起網絡釣魚活動盯上了Python代碼包索引（PyPI）的用戶，威脅如果用戶不讓代碼接受虛假的驗證流程，就刪除代碼包。

PyPI管理員提醒用戶注意這個代碼庫（它使Python開發人員能夠發布和查找用于構建軟件的代碼包），留意聲稱在實施“強制性‘驗證’流程”的電子郵件。管理員發了一連串推文，概述這起騙局是如何運作的。

郵件邀請PyPI用戶點擊一個鏈接來執行驗證，“否則代碼包有可能從PyPI中刪除”。管理員在帖子中向用戶保證，他們永遠不會從PyPI刪除有效的項目，他們只會刪除被發現是惡意項目或違反公司服務條款的項目。

管理員稱，這起活動前所未有：它竊取用戶憑據，將受感染的代碼包加載到代碼庫中。管理員特別指出，這起網絡釣魚活動并不攻擊代碼存儲庫，以便通過軟件供應鏈傳播惡意軟件。

據PyPI聲稱，實施這起騙局的攻擊者已成功竊取了幾個PyPI用戶的憑據，并將惡意軟件上傳到了他們維護的項目中，充當這些項目的最新版本。

PyPI的推文顯示：“這些版本已被人從PyPI中刪除，維護者帳戶已被暫時凍結。”

騙局如何運作？

據PyPI聲稱，最初的網絡釣魚郵件甩出了這個誘餌：谷歌支持新舊PyPI代碼包的驗證流程。具有諷刺意味的是，郵件聲稱新流程是由于“上傳到PyPI.org域的惡意代碼包數量激增”。

該鏈接將用戶引到模仿PyPI登錄頁面的網絡釣魚站點，進而竊取通過網絡釣魚站點sites[dot]google[dot]com/view/pypivalidate輸入的任何憑據。隨后數據被發送到域linkedopports[dot]com上的URL。

PyPI管理員無法確定該網絡釣魚站點是否旨在中繼轉發基于TOTP的雙因素代碼，但特別指出受硬件安全密鑰保護的帳戶不易受到攻擊。

代碼庫管理員正在積極審查報告的新惡意版本，確保將其刪除，以便恢復被盜用的帳戶，維護人員可以繼續使用PyPI。

供應鏈成為焦點

當下的潮流是，威脅分子盯上公共代碼庫，以便將惡意軟件分發到軟件供應鏈，這起活動卻一反常態。有缺陷的代碼可能成為威脅分子眼里的金礦，在開發人員或用戶不知情的情況下將中招代碼做入到眾多應用程序或網站中后，惡意活動的影響就大大擴大。

Log4J案就清楚地表明了這一點，一款廣泛使用的Java日志工具中的一個缺陷影響了數百萬個應用程序，其中許多應用程序仍然易受攻擊，而威脅分子最近加大了攻擊代碼庫的力度，以便通過供應鏈快速傳播惡意代碼。

本月早些時候，在一家安全供應商告知問題后，PyPI從注冊中心刪除了10個惡意代碼包。威脅分子將惡意代碼嵌入到代碼包安裝腳本中，進而攻擊注冊中心。

PyPI已意識到自己被盯上了，在過去這幾年已推出了多個安全項目，以便更好地保護用戶。

這些措施包括：添加雙因素身份驗證（2FA）作為登錄選項，用于將軟件上傳到注冊中心的API令牌，確保pip代碼安裝程序安裝正確版本的代碼包依賴項的依賴項解析器，以及創建數據庫，列出PyPI項目中已知的Python漏洞。

挫敗攻擊

管理員表示，PyPI目前正努力使2FA在代碼庫上的項目當中更普遍，已經實施了2FA的PyPI用戶如果認為帳戶已泄密，應重置恢復代碼。

為了完全避免被網絡釣魚活動盯上，PyPI用戶應確認任何聲稱來自PyPI的電子郵件的地址欄中的URL是http://pypi.org，該站點的TLS證書頒發給了http://pypi.org。管理員發推文稱，用戶還應該考慮使用集成瀏覽器的密碼管理器。

他們表示，通過使用硬件安全密鑰或WebAuthn 2FA啟用2FA，也可以幫助PyPI用戶避免受到網絡釣魚活動的影響。事實上，為了幫助加強保護，代碼庫目前為排名前1%的項目的維護者提供免費硬件密鑰。

PyPI建議任何認為自己已中招的用戶聯系security@pypi.org，提供有關發件人電子郵件地址和惡意站點URL的詳細信息，幫助管理員應對該問題。

本文翻譯自：https://www.darkreading.com/cloud/phishing-campaign-targets-pypi-users-to-distribute-malicious-code如若轉載，請注明原文地址。