Le plus grand référentiel au monde pour les packages Python open source, PyPI, a désactivé les nouveaux enregistrements d’utilisateurs et interdit aux utilisateurs existants de télécharger de nouveaux projets au cours du week-end, citant un flot ingérable de code malveillant téléchargé sur la plate-forme.
Dans une annonce publiée sur la page d’état de PyPI, l’organisation a déclaré : « Le volume d’utilisateurs malveillants et de projets malveillants créés sur l’index au cours de la semaine dernière a dépassé notre capacité à y répondre en temps opportun, en particulier avec plusieurs administrateurs PyPI. en congé. »
L’équipe prévoyait de « se regrouper sur le week-end » et assez tôt, dimanche soir (vers 22h00 UTC), la suspension a été levée.
Attaques de la chaîne d’approvisionnement
Les attaques de la chaîne d’approvisionnement font fureur ces jours-ci et, par conséquent, les référentiels open source sont devenus une cible attrayante pour les cybercriminels et les pirates. De nos jours, la plupart des entreprises intègrent des logiciels open source dans leurs produits, au moins dans une certaine mesure. En insérant des packages malveillants dans le référentiel, les acteurs de la menace espèrent que les équipes informatiques les détecteront, compromettant non seulement le produit qu’ils construisent, mais l’ensemble de leur réseau et de leur infrastructure.
La plupart du temps, les acteurs malveillants se livraient à des « typosquattages » – créant des packages malveillants avec des noms presque identiques à des packages bénins déjà existants. De cette façon, ils espèrent que les développeurs téméraires, surmenés ou en sous-effectif ne remarqueront pas la différence et choisiront le mauvais package pour leur solution.
Pour renforcer leur crédibilité et inciter davantage de personnes à télécharger leurs logiciels malveillants, les acteurs de la menace généreraient également de fausses critiques et augmenteraient leur nombre de téléchargements à l’aide de bots et d’intelligence artificielle.
Ces derniers mois, les attaques contre les développeurs Python via PyPI se sont intensifiées, et nous avons signalé au moins six incidents distincts qui ont été découverts cette année.
Les pirates cherchent généralement à installer des infostelaers, qui les aident à voler des informations d’identification et à accéder aux précieux actifs de l’entreprise.