Tietoturvayhtiö Fortinet on äskettäin havainnut joukon haittaohjelmapaketteja, jotka on ladattu Python Package Indexiin (PyPI), jonka avulla kehittäjät voivat jakaa ja levittää Python-ohjelmistojaan. Äskettäin sinne oli onnistuttu lataamaan haittaohjelmiston sisältäviä tiedostoja.
Python Package Indexiin (PyPI) on Python-ohjelmointikielellä kirjoitetuista ohjelmistoista koostuva avoin indeksi, jonka tarkoituksena on helpottaa sovellusten nopeaa kehittämistä ja päivittämistä. Haittaohjelmisto on naamioitu sulautumaan laillisten ohjelmistojen joukkoon.
PyPI toimii keskuksena, jonka avulla Python-kehittäjät voivat jakaa ja levittää ohjelmistoja. Useimpien indeksiin ladattujen ohjelmistojen julkaisemisesta huolehtivat aktiiviset käyttäjät, jotka haluavat tukea Python-yhteisöä. Toisinaan ohjelmistoja pääsevät kuitenkin lataamaan myös verkkorikolliset, joiden tiedostot sisältävät haittaohjelma.
Hiljattain havaitussa tapauksessa Fortinet yksilöi käyttäjätunnuksen ”WS”, joka on huomaamatta onnistunut lataamaan indeksiin haittaohjelmiston sisältäviä tiedostoja ja jolla arvioidaan olevan pitkälti yli 2 000 uhria. Haittaohjelmisto on naamioitu sulautumaan laillisten ohjelmistojen joukkoon.
’’Erityisen huolestuttavaa on, että hyökkääjä on osoittanut todella ymmärtävänsä, miten Pythonin ekosysteemi toimii. PyPIn laajamittaisen käytön vuoksi kyberhyökkäyksellä on suuri vaikutus kaikkien sektorien kehittäjiin, työskentelivätpä he sitten ohjelmistokehityksen, tietojenkäsittelytieteen tai tekoälyn parissa’’, Fortinetin kyberturvallisuusasiantuntija Timo Lohenoja sanoo.
Isku muistuttaa useita viime vuoden lopussa havaittuja tapauksia, joskin tapausten välillä on myös merkittäviä eroja. Siinä missä aiemmat tapaukset vaikuttivat sekä Linux- että Windows-järjestelmiin, nyt havaittu isku keskittyy yksinomaan Windows-käyttäjiin ja käyttää kohdeosoitteenaan useita eri IP-osoitteita kiinteän osoitteen sijaan. Tämä taktiikka mahdollistaa hyökkäyksen jatkumisen, vaikka jokin tietty palvelin suljettaisiin.
’’Tapaus on osoitus uhkaympäristön jatkuvasta muutoksesta. Se korostaa jatkuvan valppauden ja ennakoivien turvatoimien merkitystä PyPIn kaltaisten avoimen lähdekoodin ekosysteemien eheyden suojelemisessa’’, Lohenoja sanoo.
Kuvituskuva: Shutterstock