In breve
Gli aggressori registrano pacchetti PyPI con nomi come reqeusts, urlib3, py cryptography, OPPURE prendono il controllo di pacchetti legittimi abbandonati (tramite scadenza / reset dell'email del proprietario). Il payload legge...
Come funziona
Gli aggressori registrano pacchetti PyPI con nomi come reqeusts, urlib3, py cryptography, OPPURE prendono il controllo di pacchetti legittimi abbandonati (tramite scadenza / reset dell'email del proprietario). Il payload legge...
Indicatori rossi
- il nome del pacchetto differisce di 1 carattere
- improvviso salto di versione da un pacchetto inattivo da tempo
- nuovo manutentore aggiunto di recente
- setup.py esegue una chiamata di rete durante l'installazione
- tarball più grande della wheel di nome simile. DA FARE: blocca le versioni tramite pip tools / poetry.lock; usa gli hash ( require hashes); controlla setup.py prima dell'installazione; scansiona in CI con Phylum / Snyk
Cosa fare
- 1ruota tutte le credenziali accessibili dalla macchina di sviluppo, forza AWS IMDSv2, ruota le chiavi API
Fonte
FAQ
PyPI typosquat / dirottamento di pacchetto abbandonato per credenziali crypto + cloud e una truffa reale?
Si. Tratta messaggi, chiamate o richieste di pagamento come sospette finche non le verifichi da un canale ufficiale.
Quali sono i primi segnali?
il nome del pacchetto differisce di 1 carattere; improvviso salto di versione da un pacchetto inattivo da tempo; nuovo manutentore aggiunto di recente
Cosa devo fare subito?
ruota tutte le credenziali accessibili dalla macchina di sviluppo, forza AWS IMDSv2, ruota le chiavi API
LegalAudit puo controllare il mio caso?
Si. Apri la chat gratis e incolla messaggio, link, mittente o dati di pagamento per un triage.