Администраторы репозитория Python-пакетов PyPI рассказали об инциденте безопасности, когда злоумышленник смог захватить управление над проектами arrapi, tmdbapis, nagerapi и pmmutils. Хакера удалось оперативно заблокировать, и он не смог внести изменения в пакеты.
Суммарно они насчитывают около 4,5 тысяч загрузок в месяц. Пакеты сопровождает один автор (meisnate12, Nathan Taggart). Управление пакетами удалось перехватить путём компрометации его учётной записи. Хакер создал учётную запись dvolk, а затем от имени автора пакетов сформировал приглашение для включения нового пользователя в число сопровождающих, после чего удалил автора из проекта.
Через пять часов администраторы PyPI получили сообщение от meisnate12 об инциденте, заблокировали учётную запись злоумышленника и восстановили права автора. Они заявили, что Nathan Taggart не использовал двухфакторную аутентификацию.
До конца года репозиторий PyPI намерен перевести все учётные записи пользователей, сопровождающих хотя бы один проект или входящих в курирующие организации, на обязательное применение двухфакторной аутентификации. Им рекомендуют применять протокол WebAuthn с FIDO U2F токенами или приложения для аутентификации на базе одноразовых паролей, поддерживающих протокол TOTP, например, Authy, Google Authenticator, FreeOTP и oathtool. Также при загрузке пакетов разработчикам советуют перейти на использование метода аутентификации Trusted Publishers на базе стандарта OpenID Connect (OIDC) или применять API-токены. Также PyPI отказался от PGP-подписей для пакетов.
В августе 2022 года некоторые пакеты PyPI уже оказались скомпрометированы из-за того, что разработчики попались на фишинговые письма. Фишинговая кампания была нацелена на тех, кто занимается поддержкой пакетов.
В ноябре 2022 года в каталоге PyPI обнаружили более 20 вредоносных пакетов, нацеленных на кражу криптовалюты. Они маскировались под популярные библиотеки.
