Site icon Sophos News

Il repository di codice open-source PyPI affronta il vortice frenetico del malware

I repository pubblici di source code, da Sourceforge a GitHub, da Linux Kernel Archives a ReactOS.org, da PHP Packagist a Python Package Index (meglio noto come PyPI) sono una fonte straordinaria (scusate l’aggettivo!) di sistemi operativi, applicazioni, librerie di programmazione e toolkit per sviluppatori gratuiti che hanno comportato grandi benefici all’informatica e all’ingegneria del software.

La maggior parte dei progetti software ha bisogno di codice “ausiliario” che non è parte sostanziale del problema che il progetto stesso sta cercando di risolvere, come ad esempio le funzioni di utilità per scrivere nel log di sistema, produrre output colorati, caricare rapporti di stato su un servizio web, creare archivi di backup di vecchi dati e così via.

In casi come questo si può risparmiare tempo (e beneficiare gratuitamente dell’esperienza di altre persone) cercando un pacchetto già esistente in uno dei tanti repository disponibili e agganciandolo al proprio albero di source code.

D’altra parte, nel caso stiate lavorando a un vostro progetto che include alcune utility che non riuscite a trovare da nessun’altra parte, potreste sentirvi inclini a offrire qualcosa in cambio alla comunità impacchettando il vostro codice e rendendolo disponibile gratuitamente a tutti gli altri.

Il costo della gratuità

Come sicuramente saprete, tuttavia, i repository di source code della comunità comportano una serie di sfide per la cybersecurity:

Uploader disonesti

Sfortunatamente, durante lo scorso fine settimana PyPI sembra essere stato colpito da un gruppo di upload automatizzati e illegali.

Il team, forse comprensibilmente, non ha ancora fornito alcun dettaglio su come sia stato condotto l’attacco, ma il sito ha temporaneamente bloccato l’iscrizione di nuovi utenti e ha inoltre impedito agli utenti esistenti di creare nuovi progetti:

La registrazione di nuovi utenti e nomi di progetti su PyPI è temporaneamente sospesa. Il volume di utenti malintenzionati e di progetti dannosi creati su PyPI nell’ultima settimana ha superato la nostra capacità di rispondere in modo tempestivo, soprattutto in considerazione dei numerosi amministratori di questo sito in congedo.

Mentre ci riorganizziamo durante il fine settimana, la registrazione di nuovi utenti e nuovi progetti è temporaneamente sospesa [2023-05-20T16:02:00Z].

 Immaginiamo che gli aggressori stessero usando strumenti automatizzati per riempire il sito di pacchetti illegali, presumibilmente sperando che alcuni dei contenuti dannosi sfuggissero all’attenzione dei difensori e rimanessero anche dopo gli sforzi di bonifica del sito, completando così quello che si potrebbe chiamare un Attacco di Bypass della Sicurezza…

… o forse che gli amministratori del sito si sarebbero sentiti costretti a mettere offline l’intero sito per risolvere il problema, causando così un attacco Denial of Service o DoS.

La buona notizia è che in poco più di 24 ore il team ha risolto il problema ed è stato in grado di annunciare: “La sospensione è stata revocata”.

In altre parole, anche se PyPI non ha funzionato al 100% durante il fine settimana, non c’è stato un vero e proprio denial of service contro il sito o i suoi milioni di utenti.

Cosa fare?

Exit mobile version