在 PyPI 上使用了恶意软件的网络诈骗攻击

最近，PyPI的管理员发出警报，一起网络钓鱼活动盯上了Python代码包索引（PyPI）的用户，威胁如果用户不让代码接受虚假的验证流程，就删除代码包。

骗局如何运作？

据PyPI声称，最初的网络钓鱼邮件甩出了这个诱饵：谷歌支持新旧PyPI代码包的验证流程。具有讽刺意味的是，邮件声称新流程是由于“上传到PyPI.org域的恶意代码包数量激增”。

当下的潮流是，威胁分子盯上公共代码库，以便将恶意软件分发到软件供应链，这起活动却一反常态。有缺陷的代码可能成为威胁分子眼里的金矿，在第三方开发人员或非专业用户大多数时候不知情的情况下将中招代码植入注册到开发的众多应用程序或第三方网站中后，恶意活动的影响就大大扩大。

Log4J案就清楚地表明了这一点，一款广泛使用的Java日志工具中的一个缺陷影响了数百万个应用程序，其中许多应用程序仍然易受攻击，而威胁分子最近加大了攻击代码库的力度，以便通过供应链快速传播恶意代码。

本月早些时候，在一家安全供应商告知问题后，PyPI从注册中心删除了10个恶意代码包。威胁分子将恶意代码嵌入到代码包安装脚本中，进而攻击注册中心。

PyPI已意识到自己被盯上了，在过去这几年已推出了多个安全项目，以便更好地保护用户。

管理员表示，PyPI目前正努力使2FA在代码库上的项目当中更普遍，已经实施了2FA的PyPI用户如果认为帐户已泄密，应重置恢复代码。

他们表示，通过使用硬件安全密钥或WebAuthn 2FA启用2FA，也可以帮助PyPI用户避免受到网络钓鱼活动的影响。事实上，为了帮助加强保护，代码库目前为排名前1%的项目的维护者提供免费硬件密钥。这意味着，只要您拥有足够的权限，您就可以访问任何项目。此外，如果您的项目被认为是安全的，那么您也可以通过使用pypi来验证它。

（编辑：银川站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!