Cybersäkerhetsföretaget Fortinet har nyligen observerat en serie paket innehållande skadlig kod som laddats upp på Python Package Index (PyPI) – ett öppet index bestående av programvara från skriven i det populära programmeringsspråket Python för att underlätta att snabbt utveckla och uppdatera applikationer.
PyPI fungerar som ett slags centralt nav för Python-utvecklare för att dela och distribuera programvara. Det mesta som laddas upp publiceras av engagerade användare som vill stödja Python-communityt. Men det händer också att nätkriminella laddar upp filer infekterade med skadlig programvara.
I just detta fall har cybersäkerhetsföretaget identifierat en användare som går under ID "WS" som diskret laddat upp filer med skadlig programvara – och som uppskattningsvis drabbat långt över 2 000 offer. Den skadliga programvaran i fråga är kamouflerade för att smälta in bland legitim programvara.
– Extra allvarligt är att angriparen bakom visat stor förståelse för Pythons ekosystem. På grund av att PyPl används i så stor omfattning riskerar cyberattacken att få stor påverkan på utvecklare över alla sektorer, inklusive mjukvaruutveckling, datavetenskap och artificiell intelligens, säger Andreas Gotthardsson, cybersäkerhetsexpert på Fortinet.
Attacken påminner om flera liknande fall från slutet av förra året, med några väsentliga skillnader. Denna fokuserar uteslutande på Windows-användare (tidigare drabbade det både Linux- och Windows-system) och använder flera olika IP-adresser som destinationer istället för en fast adress. Det gör att attacken kan fortgå även om en specifik server skulle tas ned.
– Den här incidenten är visar på ständigt föränderliga hotlandskapet och förstärker behovet av att vara konstant vaksam och snabbt ta till proaktiva säkerhetsåtgärder för att skydda integriteten hos ekosystem med öppen källkod som PyPI, säger säger Andreas Gotthardsson på Fortinet.