Újabb riasztó felfedezést tettek a biztonsági szakértők: kiberbűnözők a Python Package Indexet, vagyis a PyPI-t használják arra, hogy ellopják a felhasználók TikTok- és Instagram-fiókjait. A Socket biztonsági csapata három ilyen rosszindulatú csomagot azonosított: checker-SaGaF, steinlurks és sinnercore néven. Ezek együtt több mint 7000 letöltést értek el, mielőtt a PyPI eltávolította volna őket.
A checker-SaGaF és a steinlurks csomagok első ránézésre csupán e-mail érvényesítőként működtek, de a valóság ennél jóval komolyabb. Ezek az eszközök az Instagram és TikTok API-kat használva ellenőrizték, hogy az adott e-mail címek mögött létezik-e valódi felhasználói fiók. Ez az információ elsőre ártalmatlannak tűnhet, ám a szakértők szerint kulcsfontosságú szerepet játszik a további támadások előkészítésében.
Amint a támadók tudják, hogy egy e-mail cím aktív fiókhoz tartozik, célzott támadásokat indíthatnak - doxolással, spamküldéssel, hamis jelentésekkel, vagy a klasszikus jelszófeltörő módszerekkel, mint a credential stuffing és password spraying. Az ilyen "validált" e-mail listák pedig értékes árucikknek számítanak a dark weben, hiszen minimalizálják a lebukás kockázatát és meggyorsítják a támadási folyamatokat.
A harmadik csomag, a "sinnercore", egy újabb szintet lépett: automatikusan elindítja az Instagram jelszó-visszaállítási folyamatát egy megadott felhasználónévre. Ez nemcsak zaklatásra alkalmas, hanem technikai előkészületként is szolgálhat további, célzott támadásokhoz.
Ez az eset nem elszigetelt. Alig egy hónapja fedeztek fel két másik káros PyPI-csomagot, amelyek kriptovaluták ellopására voltak kihegyezve. Ezek népszerű, legitim csomagoknak álcázták magukat, és így több mint 37 ezer letöltést értek el, mielőtt lekapcsolták őket.
A PyPI - a Python világ egyik legfontosabb ökoszisztémája - egyre gyakrabban válik visszaélések célpontjává. Ez nemcsak a fejlesztők számára jelent súlyos kockázatot, hanem mindazok számára is, akiknek adatai ezekbe a támadási láncokba belekerülhetnek. A tanulság világos: a bizalom és a rutin nem elég, ha kódot töltünk le - a biztonságtudatosság ma már minden szinten alapkövetelmény.