شنبه ۳ آذر ۱۴۰۳ , 23 Nov 2024
جالب است ۰
برنامه‌نویسان پایتون مراقب باشند

هشدار PyPI درباره حملات فیشینگ به کاربران این سرویس

اختصاصی افتانا
شرکت PyPI به توسعه‌دهندگان و کاربران خود در مورد کمپین فیشینگی که آن‌ها را نشانه گرفته، هشدار داد.
منبع : The Register
شرکت PyPI به توسعه‌دهندگان و کاربران خود در مورد کمپین فیشینگی که آن‌ها را نشانه گرفته، هشدار داد.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، Python Package Index که در میان توسعه‌دهندگان با نام PyPI شناخته می‌شود، هشداری را درباره حمله فیشینگی که توسعه‌دهندگان استفاده‌کننده از این سرویس را هدف گرفته، منتشر کرده است.

این سازمان گفت که این اولین حمله فیشینگ شناخته شده علیه کاربران PyPI است و متأسفانه، این حمله تا حدودی موفقیت‌آمیز بوده و درنتیجه حساب‌های برخی از کاربران به خطر افتاده است.

سرویس PyPI یک رجیستری بسته آنلاین است که برنامه‌نویسان پایتون می‌توانند در آن ماژول‌های کد را برای برنامه‌هایشان دانلود کنند و همچنین می‌توانند کتابخانه‌های نرم‌افزاری را به نفع جامعه پایتون میزبانی کنند.

حملات به زنجیره تأمین نرم‌افزار در چند سال گذشته افزایش یافته است و ثبت بسته‌ها به عنوان بخشی از این زنجیره به اهدافی مکرر برای حملات آنلاین تبدیل شده‌اند زیرا ربودن حساب نگهدارنده بسته یا تغییر بسته میزبانی شده، می‌تواند باعث توزیع آسان‌تر بدافزار شود.

این سازمان در توئیتر گفت: پیام فیشینگ ادعا می‌کند که یک فرایند «اعتبارسنجی» اجباری در حال اجرا است و از کاربران دعوت می‌کند تا پیوندی را برای تأیید اعتبار یک بسته دنبال کنند یا در غیر این صورت، خطر حذف بسته از PyPI را تهدید می‌کنند.

این سازمان همچنین افزود که PyPI پروژه‌های معتبر را از رجیستری حذف نمی‌کند و فقط آن‌هایی حذف خواهند شد که شرایط خدمات را نقض می‌کنند.

این فیشینگ به طرز قانع‌کننده‌ای ساخته شده است، زیرا بسیاری از رجیستری‌های بسته محبوب مانند npm، RubyGems و PyPI در واقع در چند ماه گذشته الزامات امنیتی مانند استفاده از احراز هویت چند-مرحله‌ای و انتشار جزئیات تغییرات را اضافه کرده‌اند. در این زمینه، یک فرایند اعتبارسنجی بیشتر محتمل‌تر به نظر می‌رسد.

سودجویان تلاش‌ها را برای کار در مورد احراز هویت چند مرحله‌ای افزایش داده‌اند. نوامبر گذشته، شرکت امنیتی Sygnia گزارش داد که شاهد افزایش حملات فیشینگ بوده‌اند که این حملات از تکنیک Man-in-the-Middle برای غلبه بر ۲FA استفاده می‌کنند.

حمله به PyPI به دنبال یک کمپین فیشینگ اخیراً فاش شده به نام Oktapus انجام می‌شود که چندین ماه پیش کارمندان شرکت احراز هویت Okta را هدف گرفت. با به دست آوردن اعتبار و کدهای ۲FA، فیشرها به شرکت بازاریابی Klaviyo، سرویس ایمیل Mailchimp و خدمات ارتباطی Twilio و غیره ضربه زدند. شاید قابل توجه باشد که به نظر می رسد ایمیل فیشینگ PyPI از یک آدرس Mailchimp آمده باشد.

به گفته PyPI، پیوند فیشینگ مستقر در کمپین به وب‌سایتی منتهی می‌شود که شبیه به صفحه ورود این سازمان است و هرگونه کاراکتری را که قربانی وارد می‌کند، می‌دزدد. PyPI مطمئن نیست که سایت سرقت داده قادر به انتقال کدهای دوعاملی مبتنی بر TOTP است یا خیر، اما می‌گوید حساب‌های محافظت شده با کلیدهای امنیتی سخت‌افزاری ایمن هستند.

صفحه فیشینگ میزبانی شده توسط Google Sites، در sites[dot]google[dot]com/view/pypivalidate، اطلاعات کاربری سرقت شده را به دامنه linkedopports[dot]com ارسال می‌کند یا بهتر است بگوییم از زمانی که صفحه حذف شده، این کار را انجام داده است.

PyPI گفت: علاوه بر این، تشخیص داده‌ایم که برخی از نگه‌دارنده‌های پروژه‌های قانونی در معرض خطر قرار گرفته‌اند و بدافزار به‌عنوان آخرین نسخه برای آن پروژه‌ها منتشر شده است. این نسخه‌ها از PyPI حذف شده‌اند و حساب‌های نگهدارنده به طور موقت مسدود شده‌اند.

این سازمان دو بسته را با نسخه‌های مخرب شناسایی کرد:
• exotel==۰.۱.۶
• هرزنامه==۲.۰.۲ و ==۴.۰.۲

علاوه بر این، موارد زیادی از حملات مربوط به تایپودر سکوت حذف شده است.

درنتیجه کمپین فیشینگ، PyPI اعلام کرد که کلیدهای امنیتی سخت‌افزاری رایگان را در اختیار نگهدارندگان پروژه‌های حیاتی، یعنی یک درصد برتر پروژه‌ها بر اساس دانلود در شش ماه گذشته قرار می‌دهد. حدود سه‌هزار و پانصد پروژه واجد شرایط وجود دارد و نگهدارنده‌های واجد شرایط از یک اکتبر می‌توانند کد تبلیغاتی را برای دو کلید امنیتی Titan (یا USB-C یا USB-A) ازجمله ارسال رایگان خرید کنند.
کد مطلب : 19354
https://aftana.ir/vdcbafb8.rhb9spiuur.html
ارسال نظر
نام شما
آدرس ايميل شما
کد امنيتی