Keamanan cyber (terbuka di tab baru) peneliti baru-baru ini menemukan setengah lusin paket typosquatting di repositori resmi PyPI dari Piton (terbuka di tab baru) bahasa pemrograman yang terkandung cryptomining (terbuka di tab baru) malware.
Penemuan itu dibuat oleh otomatisasi rantai pasokan perangkat lunak dan penyedia keamanan Sonatype, yang menemukan enam paket berbahaya (terbuka di tab baru) yang menggunakan sedikit variasi nama paket Python populer untuk memanfaatkan kesalahan ejaan pengguna.
Secara keseluruhan, enam paket palsu mengumpulkan lebih dari 5.000 unduhan, sekali lagi menyoroti ancaman terhadap rantai pasokan perangkat lunak.
“Alat analisis kami secara konsisten menangkap dan memblokir komponen perangkat lunak palsu dan berbahaya sebelum menyerang rantai pasokan perangkat lunak modern,” tulis peneliti keamanan Sonatype, Ax Sharma.
Serangan rantai pasokan
Analisis Sharma menunjukkan bahwa semua paket palsu dikirimkan oleh penulis yang sama, beberapa berasal dari April 2021.
Ini bukan pertama kalinya pengguna jahat berhasil memasukkan paket yang meragukan ke dalam PyPI, dan Sonatype berpendapat itu bukan yang terakhir, betapapun malangnya kedengarannya.
Melaporkan perkembangan, Catatan Ars Technica (terbuka di tab baru) serangan sebelumnya pada PyPI, menambahkan bahwa kode berbahaya juga telah ditemukan bersembunyi di repositori publik lainnya, seperti RubyGems untuk bahasa pemrograman Ruby dan npm untuk JavaScript (terbuka di tab baru) bahasa.
Meskipun tidak boleh dianggap enteng, wahyu dapat dengan cepat berubah menjadi buruk jika dilihat dalam konteksnya temuan Veracode baru-baru ini (terbuka di tab baru) yang menunjukkan mayoritas developer (terbuka di tab baru) jangan pernah perbarui pihak ketiga sumber terbuka (terbuka di tab baru) pustaka setelah memasukkannya ke dalam basis kode.
