A Python Package Index, a PyPI Twitteren hívja fel a figyelmet egy folyamatban lévő adathalász kampányra, amelynek célja a fejlesztők hitelesítő adatainak megszerzése, valamint rosszindulatú frissítőcsomagok befecskendezése a repository-ba.
Az adathalász e-mailben a fejlesztőket azzal igyekeznek rávenni a rosszindulatú link megnyitására, hogy legkésőbb szeptemberig kötelező elvégezniük a Google új érvényesítési folyamatát, máskülönben eltávolításra kerülnek csomagjaik a PyPI-ből. A linkre kattintva a fejlesztők a PyPI bejelentkezési oldalával megegyező adathalász oldalra kerülnek átirányításra, ahol a megadott hitelesítő adatok a támadók birtokába jutnak, akik így képesek rosszindulatú frissítéseket befecskendezni a legitim fejlesztői csomagokba.
A Checkmarx kutatója, Aviad Gershon elemzése szerint ez az első ismert és kimondottan PyPI felhasználókat célzó adathalász támadás, amely során ezidáig több száz rosszindulatú csomagról szereztek már tudomás. A támadás két fázisát, vagyis az adathalászatot és a rosszindulatú csomagokat, a linkedopports[.]com domain kapcsolja össze. Továbbá az is kiderült, hogy a rosszindulatú csomagok egy fájlt próbálnak letölteni és végrehajtani a hxxps://python-release[.]com/python-install.scr. címről, és a felfedezés során a kód maga digitálisan aláírt és szokatlanul nagyméretű (kb. 63 MB) volt, feltehetően azért, hogy rejtve maradjon az AV szoftverek elől.
Az Python fejlesztőknek javasolt ellenőrizniük a hálózati forgalmukat az elemzésben felsorolt IOC-k alapján, illetve engedélyezniük a kétfaktoros azonosítást (2FA), amennyiben még nem tették meg.
