Der Python Package Index (PyPI) hat die Registrierung neuer Benutzer und Projekte vorübergehend ausgesetzt, nachdem die Anzahl der im Index erstellten böswilligen Benutzer und Projekte gestiegen ist. In einer am 20. Mai veröffentlichten Mitteilung erklärten die PyPI-Administratoren, dass die Menge an böswilligen Aktionen und Akteuren ihre Kapazitäten übersteige, das Problem schnell zu beheben. Das Fehlen mehrerer Administratoren verschärfte das Problem nur.

Während die PyPI-Administratoren keine spezifischen Informationen über die böswilligen Aktionen oder beteiligten Akteure bereitstellten, deuten Quellen darauf hin, dass ein automatisierter Angriff die Ursache gewesen sein könnte.

Laufende Malware-Kampagnen, die auf Open-Source-Register abzielen

Der PyPI-Ausfall ist nur der jüngste in einer Reihe von Angriffen auf Open-Source-Register. Insbesondere PyPI ist mehrfach auf Fälle gestoßen, in denen Angreifer es zur Verbreitung von Malware ausgenutzt haben.

In einer aktuellen Entdeckung des israelischen Cybersicherheits-Startups Phylum wurde eine laufende Malware-Kampagne aufgedeckt, die OpenAI-ChatGPT-Köder ausnutzt. Die Angreifer nutzen diese Köder, um Entwickler dazu zu verleiten, ein bösartiges Python-Modul herunterzuladen, das den Inhalt der Zwischenablage extrahieren kann, wodurch die Angreifer Kryptowährungstransaktionen kapern können.

Ebenso wurden im npm-Paket-Repository zwei Schadpakete entdeckt, die als Komponenten einer Open-Source-Informationsdiebstahl-Malware namens TurkoRat getarnt waren. Diese Pakete waren über zwei Monate lang zugänglich, bevor sie entdeckt und entfernt wurden. In dieser Zeit wurden sie insgesamt rund 1.200 Mal heruntergeladen.

Auch PyPI war in der Vergangenheit ähnlichen Angriffen ausgesetzt. Im März dieses Jahres wurde auf PyPI ein Schadpaket namens „colourfool“ entdeckt, das vom Risikoberatungsunternehmen Kroll Schadsoftware mit der Bezeichnung „Color-Blind“ verbreitet. Im selben Monat identifizierte Sonatype zwei PyPI-Pakete mit den Namen „microsoft-helper“ und „reverse-shell“, die informationsstehlende Malware lieferten und Discord nutzten, um vertrauliche Informationen zu extrahieren und zu übertragen.

Abschluss

Die vorübergehende Aussetzung neuer Benutzer- und Projektregistrierungen durch PyPI ist ein notwendiger Schritt, um dem jüngsten Anstieg böswilliger Aktivitäten auf dem Index entgegenzuwirken. Es unterstreicht jedoch die Notwendigkeit, dass Open-Source-Register wachsam gegenüber laufenden Angriffen bleiben müssen, die die Sicherheit und Integrität des Softwareentwicklungsprozesses gefährden können.

Die PyPI-Administratoren haben noch nicht bekannt gegeben, wann die Registrierung neuer Benutzer und Projekte wieder aufgenommen wird, es wird jedoch erwartet, dass dies bald der Fall sein wird. In der Zwischenzeit wird Entwicklern empfohlen, vorsichtig zu sein und die Authentizität aller Pakete zu überprüfen, die sie von PyPI herunterladen.