Python Paket Endeksinin (PYPI) deposunun bakıcıları, kullanıcıları sahte PYPI sitelerine yönlendirmek için hedefleyen devam eden bir kimlik avı saldırısı hakkında bir uyarı yayınladı.
Saldırı, konu satırını taşıyan e -posta mesajlarının gönderilmesini içerir “[PyPI] E -posta adresinden gönderilen e -posta doğrulaması noreply@pypj[.]org (Alanın olmadığını unutmayın “Pypi[.]org“).
Pypi yöneticisi Mike Fiedler Pazartesi günü yaptığı açıklamada, “Bu, Pypi’nin kendisinin güvenlik ihlali değil, kullanıcıların PYPI’daki güvenden yararlanan bir kimlik avı denemesidir.” Dedi.
E -posta mesajları, kullanıcılara e -posta adreslerini doğrulamak için bir bağlantı izlemelerini söyler, bu da PYPI’yi taklit eden ve kimlik bilgilerini hasat etmek için tasarlanmış bir çoğaltma kimlik avı sitesine yol açar.
Ancak akıllıca bir bükülmede, sahte siteye giriş bilgileri girildikten sonra, istek meşru PYPI sitesine yönlendirilir ve kurbanları gerçekte kimlik bilgileri saldırganlara aktarıldığında hiçbir şeyin yanlış olmadığını düşünmeye kandırır. Bu yöntemi tespit etmek daha zordur, çünkü şüpheyi tetiklemek için hata mesajları veya başarısız girişler yoktur.
Pypi, saldırıyı ele almak için farklı yöntemlere baktığını söyledi. Bu arada, kullanıcıları oturum açmadan önce tarayıcıdaki URL’yi incelemeye çağırıyor ve bu tür e -postaları almışlarsa bağlantıyı tıklamaktan kaçınıyor.
Bir e -postanın meşru olup olmadığından emin değilseniz, alan adının hızlı bir şekilde kontrolü – mektupla metin – yardım edebilir. Tarayıcı uzantıları gibi, yalnızca bilinen alanlarda otomatik olarak doldurulan doğrulanmış URL’leri veya şifre yöneticilerini vurgulayan araçlar ikinci bir savunma katmanı ekleyebilir. Bu tür saldırılar sadece bireyleri kandırmaz; Yaygın olarak kullanılan paketleri yayınlayabilecek veya yönetebilecek hesaplara erişmeyi amaçlamaktadırlar.
Fiedler, “Bağlantıyı zaten tıkladıysanız ve kimlik bilgilerinizi sağladıysanız, şifrenizi hemen PYPI’da değiştirmenizi öneririz.” Dedi. “Hesabınızın güvenlik geçmişini beklenmedik bir şey için inceleyin.”
Şu anda kampanyanın arkasında kimin olduğu net değil, ancak etkinlik, yazım hatası “NPNJ’ler kullanan yeni bir NPM kimlik avı saldırısına çarpıcı benzerlikler taşıyor.[.]com “(” NPMJS’nin aksine[.]com “) kullanıcıların kimlik bilgilerini yakalamak için benzer e -posta doğrulama e -postaları göndermek.
Saldırı, Web tarayıcılarından hassas veri toplamak için Scavenger Stealer adlı bir kötü amaçlı yazılım sunmak için yedi farklı NPM paketinden ödün verdi. Bir durumda, saldırılar sistem bilgilerini ve çevre değişkenlerini yakalayan bir JavaScript yükünün yolunu açtı ve ayrıntıları bir WebSocket bağlantısı üzerinden geçirdi.
Güven ve otomasyonun merkezi bir rol oynadığı NPM, GitHub ve diğer ekosistemlerde de benzer saldırılar görüldü. Typosquatting, kimliğe bürünme ve ters proxy kimlik avı, bu büyüyen sosyal mühendislik kategorisinde, geliştiricilerin her gün güvendikleri araçlarla nasıl etkileşime girdiklerini kullanan taktiklerdir.