De Python-repository voelde zich genoodzaakt in te grijpen nadat er packages werden geüpload die kwaadaardige code uitvoeren op apparaten. Ook was het tijdelijk niet mogelijk nieuwe projecten aan te maken.
Inmiddels werkt PyPi weer normaal. Het was echter tien uur lang niet mogelijk om te registreren en projecten aan te maken. Dat was gezien de populariteit van PyPi een maatregel waar veel ontwikkelaars last van hadden. De repository wordt binnen de Python-community veel gebruikt als bron voor code libraries, zodat ontwikkelaars snel toegang hebben tot softwarecode.
Doordat veel Python-ontwikkelaars op PyPi vertrouwen, is het een interessant doelwit voor hackers. Zij zouden het kunnen misbruiken om kwaadaardige code te verspreiden en zo toegang te krijgen tot de systemen van grote bedrijven. Precies dat gebeurde tussen 27 maart en 28 maart en leidde tot de stop op registraties en projecten.
Werking malware
Een analyse van securitybedrijf Checkmarx geeft meer inzicht in de gebeurtenissen bij PyPi. Een cybercrimineel uploadde deze week 365 pakketten die namen van legitieme projecten imiteerden. De pakketten bevatten kwaadaardige code in het setup.py-bestand, dat wordt uitgevoerd tijdens de installatie. Tijdens dit proces probeert het een tweede payload van een server op afstand op te halen. Als dit lukt, wordt er een infostealer op het systeem geplaatst, die zich richt op gegevens in webbrowsers. Het kan gaan om wachtwoorden, cookies en extensiedata. Ook wordt geprobeerd cryptowallets te stelen.
Het is onduidelijk hoeveel gebruikers getroffen zijn door de aanval. Na tien uur werkte PyPi weer, wat erop wijst dat het probleem verholpen zou zijn.