В марте 2026 года была зафиксирована волна атак на PyPI, в результате которых были скомпрометированы несколько популярных библиотек, включая LiteLLM, telnyx и Trivy. Эти атаки были совершены группировкой TeamPCP, которая использовала украденные токены для получения доступа к репозиториям.
Что такое Supply Chain Атаки?
Supply chain атаки представляют собой тип кибератак, при котором злоумышленники нацеливаются на уязвимости в цепочке поставок программного обеспечения. Это может включать в себя взлом репозиториев, компрометацию библиотек или фреймворков, а также использование других методов для получения доступа к системам жертв. В случае с PyPI атаки были совершены через украденные токены, которые позволили злоумышленникам получить доступ к репозиториям и внести изменения в код.
Анализ Атак
Атаки на PyPI были совершены группировкой TeamPCP, которая использовала украденные токены для получения доступа к репозиториям LiteLLM, telnyx и Trivy. После получения доступа злоумышленники внесли изменения в код, добавив вредоносные компоненты, которые позволяли им получить доступ к системам жертв. Атаки были обнаружены после того, как пользователи начали сообщать о необычном поведении библиотек.
IoC (Индициаторы Компрометации)
Для обнаружения и предотвращения атак важно знать индициаторы компрометации (IoC). В случае с атаками на PyPI IoC включают в себя:
- Необычное поведение библиотек
- Изменения в коде, не соответствующие ожидаемому поведению
- Неавторизованный доступ к репозиториям
- Украденные токены или другие методы аутентификации
Защита от Supply Chain Атак
Для защиты от supply chain атак важно принять несколько мер предосторожности:
- Используйте безопасные методы аутентификации, такие как двухфакторная аутентификация
- Регулярно проверяйте код на наличие уязвимостей и обновляйте библиотеки
- Используйте инструменты для обнаружения и предотвращения атак, такие как системы обнаружения вторжений
- Внедряйте принципы безопасного развития программного обеспечения, такие как DevSecOps
Заключительные Мысли
Волна атак на PyPI в марте 2026 года показала, насколько важна безопасность в цепочке поставок программного обеспечения. Для защиты от таких атак важно принять меры предосторожности, регулярно проверять код и использовать безопасные методы аутентификации. Кроме того, важно быть осведомленным об индициаторах компрометации и знать, как обнаружить и предотвратить атаки.