A kiberbiztonsági szakértők egy újabb kampányra hívták fel a figyelmet, amely a Python Package Index (PyPI) felhasználóit célozza meg. A támadók hamis csomagokat tettek közzé az ismert szoftverkönyvtárban, amelyek időkezeléssel kapcsolatos segédprogramoknak álcázzák magukat, valójában azonban érzékeny adatok, például felhő hozzáférési tokenek ellopására szolgálnak.
A szoftverellátási lánc biztonságára szakosodott ReversingLabs szakértői két különböző csomagcsoportot azonosítottak, összesen 20 káros csomaggal. Ezeket a káros csomagokat több mint 14100 alkalommal töltötték le.
- snapshot-photo (2,448 letöltés)
- time-check-server (316 letöltés)
- time-check-server-get (178 letöltés)
- time-server-analysis (144 letöltés)
- time-server-analyzer (74 letöltés)
- time-server-test (155 letöltés)
- time-service-checker (151 letöltés)
- aclient-sdk (120 letöltés)
- acloud-client (5,496 letöltés)
- acloud-clients (198 letöltés)
- acloud-client-uses (294 letöltés)
- alicloud-client (622 letöltés)
- alicloud-client-sdk (206 letöltés)
- amzclients-sdk (100 letöltés)
- awscloud-clients-core (206 letöltés)
- credential-python-sdk (1,155 letöltés)
- enumer-iam (1,254 letöltés)
- tclients-sdk (173 letöltés)
- tcloud-python-sdks (98 letöltés)
- tcloud-python-test (793 letöltés)
A „tcloud-python-test”-re hivatkozó forráskód módosítása 2023. november 8-án készült, így feltehetően a csomag azóta letölthető PyPI-ről. A szakértők azt is megállapították, hogy három rosszindulatú csomagot (acloud-client, enumer-iam és tcloud-python-test) egy népszerű GitHub-projekt is, az accesskey_tools függőségként használta. Ez a projekt 42 forkot és 519 csillagot kapott a GitHubon, így a fertőzött csomagok sok fejlesztőhöz eljuthattak.
A PyPI adminisztrátorai időközben eltávolították az érintett csomagokat, azonban a szoftverellátási láncot érintő támadások növekvő tendenciája arra figyelmeztet, hogy a fejlesztői közösségnek folyamatosan ébernek kell maradnia.