0
0
Após uma suspensão temporária de todos os novos usuários e uploads de pacotes, o repositório Python Package Index (PyPI) está de volta em funcionamento. Muitos notaram que o culpado foi a inundação do site com um excesso de pacotes maliciosos – mas um administrador do PyPI observou que não havia excesso incomum, simplesmente menos pessoas do que o normal para lidar com o excesso habitual.
O PyPI é o repositório oficial de software para Python, atendendo mais de 700.000 usuários e mais de 450.000 projetos, de acordo com a página inicial do site. Sua popularidade atraiu não apenas desenvolvedores, mas hackers que gostam de carregar pacotes maliciosos como um primeiro passo em violações da cadeia de suprimentos.
A partir da tarde de sábado (UTC), o PyPI suspendeu temporariamente os registros de novos usuários e projetos. “O volume de usuários mal-intencionados e projetos maliciosos sendo criados no índice na semana passada superou nossa capacidade de responder a ele em tempo hábil, especialmente com vários administradores do PyPI de licença”, escreveram os administradores do site em um relatório de incidentes.
A declaração levantou sobrancelhas em toda a comunidade de segurança, com muitos sites de notícias relatando que o site foi vítima de uma onda anômala de atividade maliciosa ou até mesmo de um ataque cibernético total. E, a empresa de pesquisa Checkmarx em um blog caracterizou a situação como parte de um aumento de “atores publicando quantidades esmagadoras de pacotes maliciosos em vários registros de código aberto”.
Mas Ee Durbin, diretor de infraestrutura da Python Software Foundation, disse à Dark Reading que as circunstâncias reais do desligamento foram muito menos dramáticas do que imaginavam.
“Este fim de semana foi apenas uma questão de capacidade humana”, diz Durbin. “Efetivamente, havia apenas um administrador do PyPI disponível para lidar com relatórios dos três habituais, e eles (eu) precisavam de um fim de semana.”
A partir da noite de 21 de maio (UTC), o PyPI voltou a funcionar normalmente, com sua equipe administrativa disponível em vigor.
Por que nos preocupamos com repositórios de software de código aberto
Pelo menos parte do burburinho em torno do desligamento de 30 horas do PyPI pode ser explicado por temores crescentes em torno do estado de segurança de código aberto.
“Vimos o número de ataques disparar nos últimos dois anos”, diz Peter Morgan, cofundador e CSO da Phylum. No primeiro trimestre de 2023, a Phylum analisou 2,8 milhões de pacotes publicados em repositórios populares como PyPI, npm e Nuget, 18.016 dos quais executaram código suspeito na instalação, 6.099 referenciaram URLs maliciosas conhecidas e 2.189 visaram organizações específicas.
Pacotes maliciosos correm tão desenfreados hoje que alguns hackers quase não sentem mais a necessidade de escondê-los.
“Cada vez mais atacantes estão percebendo como isso é fácil de fazer. Não requer nenhuma habilidade. Você pode baixar scripts da Internet e usá-los para poluir a cadeia de suprimentos de código aberto”, explica Morgan. “Além disso, não tem custo. Você não precisa gastar dinheiro. Você pode fazer isso gratuitamente com contas anônimas.”
Com o software hoje, continua Morgan, “há muitas dependências. Tudo o que um invasor precisa fazer é colocar um pé na cadeia de dependência para obter um controle em seu computador. Então, o zagueiro [tem] uma desvantagem enorme aqui. O atacante só precisa ganhar uma vez”.
Por outro lado, as organizações que utilizam software de código aberto — leia-se: todas as organizações — têm muito mais dificuldade em se defender até mesmo contra esses invasores de baixo nível, o que leva a pedidos de melhor inspeção de pacotes, desenvolvimento de novas ferramentas para rastrear dependências e listas de materiais de software (SBOMs).
Os responsáveis pela manutenção dos repositórios reconhecem essas questões tanto quanto qualquer um. “Deve-se sempre ter cautela ao instalar a partir de um índice público, seja em seus projetos ou na linha de comando com ‘pip install'”, diz Durbin.
Repositórios fazem alterações em pacotes maliciosos de batalha
Historicamente, os repositórios têm lutado para acompanhar seus adversários muito mais numerosos. Para acalmar as preocupações, no entanto, Durbin conta que “temos desenvolvimentos empolgantes que permitirão um tratamento muito mais sustentável e potencialmente automatizado de relatórios de malware em breve”.
A Python Software Foundation também adicionou recentemente uma função de desenvolvedor de segurança residente, destinada a melhorar a segurança do Python em geral. E apenas algumas semanas atrás, Durbin anunciou que a PyPI trará um engenheiro de segurança e proteção, cujo trabalho será se concentrar na segurança da PyPI em particular.
A segurança da cadeia de suprimentos nos próximos anos vai ativar nossa capacidade de manter os repositórios públicos limpos e nos proteger quando eles não estão. “Todo mundo está muito, muito focado em encontrar coisas que têm vulnerabilidades”, conclui Durbin, “mas as vulnerabilidades de software não são o que os invasores estão usando para invadir computadores hoje. Eles estão criando pacotes maliciosos.”
FONTE: DARK READING