Администраторы репозитория Python‑пакетов PyPI (Python Package Index) рассказали о неавторизированном доступе к 174 учётным записям пользователей сервиса. Представители PyPI предполагают, что доступ к записям пострадавших пользователей был получен из ранее скомпрометированных учётных данных в результате взломов или утечек баз пользователей других сервисов.
Администраторы PyPI не нашли доказательств взлома какого‑то из существующих пакетов или любой другой вредоносной активности. Также администраторы портала предполагают получение несанкционированного доступа к учётным записям в PyPI из‑за использования жертвами одинаковых паролей на разных сайтах и отсутствия двухфакторной аутентификации на PyPI.
Активность атакующих была выявлена администраторами после получения серии жалоб 31 марта 2024 года. В жалобах пользователи сообщали о получении уведомлений от PyPI об активации двухфакторной аутентификации и другой активности, но хозяева учётных записей не логинились на портале и сами ничего не меняли. Проанализировав логи авторизации, администраторы портала установили доступ третьих лиц к учётным записям 174 пользователей.
Скомпрометированные учётные записи были заблокированы до окончания разбирательства, остальным пользователям PyPI с выключенной двухфакторной аутентификацией были отправлены письма‑уведомления для повторной верификации адресов электронной почты. Всего двухфакторная аутентификация не была включена у 56% пользователей портала или 370 тысяч.
Несколько дней назад, 29 марта 2024 года регистрация на портал репозиториев PyPI новых пользователей и создание новых проектов была приостановлена, в связи с кампанией по распространению вредоносного ПО.