Radar Truffe

Come riconoscere PyPI typosquat / dirottamento di pacchetto abbandonato per credenziali crypto + cloud?

Pubblicato il

In breve

Gli aggressori registrano pacchetti PyPI con nomi come reqeusts, urlib3, py cryptography, OPPURE prendono il controllo di pacchetti legittimi abbandonati (tramite scadenza / reset dell'email del proprietario). Il payload legge...

Come funziona

Gli aggressori registrano pacchetti PyPI con nomi come reqeusts, urlib3, py cryptography, OPPURE prendono il controllo di pacchetti legittimi abbandonati (tramite scadenza / reset dell'email del proprietario). Il payload legge...

Indicatori rossi

  • il nome del pacchetto differisce di 1 carattere
  • improvviso salto di versione da un pacchetto inattivo da tempo
  • nuovo manutentore aggiunto di recente
  • setup.py esegue una chiamata di rete durante l'installazione
  • tarball più grande della wheel di nome simile. DA FARE: blocca le versioni tramite pip tools / poetry.lock; usa gli hash ( require hashes); controlla setup.py prima dell'installazione; scansiona in CI con Phylum / Snyk

Cosa fare

  1. 1ruota tutte le credenziali accessibili dalla macchina di sviluppo, forza AWS IMDSv2, ruota le chiavi API

Fonte

PyPI-Security

Fonte verificata da Mythos Forensic Team

https://blog.pypi.org/

FAQ

PyPI typosquat / dirottamento di pacchetto abbandonato per credenziali crypto + cloud e una truffa reale?

Si. Tratta messaggi, chiamate o richieste di pagamento come sospette finche non le verifichi da un canale ufficiale.

Quali sono i primi segnali?

il nome del pacchetto differisce di 1 carattere; improvviso salto di versione da un pacchetto inattivo da tempo; nuovo manutentore aggiunto di recente

Cosa devo fare subito?

ruota tutte le credenziali accessibili dalla macchina di sviluppo, forza AWS IMDSv2, ruota le chiavi API

LegalAudit puo controllare il mio caso?

Si. Apri la chat gratis e incolla messaggio, link, mittente o dati di pagamento per un triage.