Le référentiel de packages PyPi de Python a temporairement interrompu les nouvelles inscriptions, citant le “volume de projets malveillants”

Samedi, PyPI, le registre tiers officiel des packages Python open source, “a temporairement suspendu l’inscription de nouveaux utilisateurs et le téléchargement de nouveaux projets sur la plate-forme” signale BleepingComputer.

“Le volume d’utilisateurs malveillants et de projets malveillants créés sur l’index au cours de la semaine dernière a dépassé notre capacité à y répondre en temps opportun, en particulier avec plusieurs administrateurs PyPI en congé”, a déclaré un avis d’incident. posté par les administrateurs de PyPI Samedi.

Il y a quelques heures, ils ont publié une mise à jour de quatre mots : “La suspension a été levée.” Aucun détail n’a été fourni, mais Les nouvelles des pirates écrit l’incident “survient alors que les registres de logiciels tels que PyPI ont prouvé maintes et maintes fois qu’il était une cible populaire pour les attaquants qui cherchent à empoisonner la chaîne d’approvisionnement logicielle et à compromettre les environnements de développement.”

Plus tôt cette semaine, la startup israélienne de cybersécurité Phylum découvert une campagne active de logiciels malveillants qui exploite les leurres sur le thème OpenAI ChatGPT pour inciter les développeurs à télécharger un module Python malveillant capable de voler le contenu du presse-papiers afin de détourner les transactions de crypto-monnaie. ReversingLabs, dans une découverte similaire, a identifié plusieurs packages npm nommés nodejs-encrypt-agent et nodejs-cookie-proxy-agent dans le référentiel npm qui supprime un cheval de Troie appelé TurkoRat.