放大(图片来源: Getty Images )
研究人员周四表示,Python 语言的官方软件存储库Python 包索引 (PyPI)已成为一项复杂的供应链攻击的目标,该攻击似乎已成功毒害了至少两个合法项目的凭据窃取恶意软件。
PyPI 官员上周表示,项目贡献者受到网络钓鱼攻击,试图诱骗他们泄露他们的帐户登录凭据。成功后,网络钓鱼者使用泄露的凭据发布恶意软件,伪装成与该帐户相关联的合法项目的最新版本。 PyPI 迅速删除了受损更新,并敦促所有贡献者使用防钓鱼形式的双因素身份验证来更好地保护他们的帐户。
今天,我们收到了针对 PyPI 用户的网络钓鱼活动的报告。这是第一个已知的针对 PyPI 的网络钓鱼攻击。
我们在此处发布详细信息,以提高人们对可能存在的威胁的认识。
— Python 包索引 (@pypi) 2022 年 8 月 24 日
周四,来自安全公司 SentinelOne 和 Checkmarx 的研究人员表示,供应链攻击是一个更大的活动的一部分,该组织至少自去年年底以来一直活跃,以传播研究人员称之为 JuiceStealer 的凭据窃取恶意软件。最初,JuiceStealer 是通过一种称为域名仿冒的技术传播的,在这种技术中,威胁行为者在 PyPI 中植入了数百个与知名软件包名称非常相似的软件包,希望某些用户会意外安装它们。