Spammers hebben de Python Package Index (PyPI) portal en de GitLab-website afgelopen weekend overspoeld met onzinberichten. De berichten staan vol met advertenties naar schimmige sites en diensten. De aanvallen hadden niets met elkaar te maken.
Het spammen van code repositories lijkt een nieuwe tactiek te zijn voor spammers. Normaal richten ze zich vooral op blogs, forums en nieuwssites, om de opmerkingensectie te overstromen met verdachte links.
Veel bedrijven hebben hun servers, web apps en subdomeinen niet goed beveiligd, waardoor ze slachtoffer worden van spam aanvallen. Zodra spammers binnen zijn, kan dat problemen blijven opleveren. Zo heeft Microsoft al een jaar lang last van spamgroepen die subdomeinen van de Microsoft.com site kapen om louche content te delen.
Louche advertenties in Python libraries
De grootste van de twee aanvallen vond plaats op PyPI, de officiële repository voor de Python programmeertaal. De website herbergt tienduizenden Python bibliotheken. Iedereen kan pagina’s aanmaken op de PyPI website. Spammers maakten hier misbruik van door pagina’s aan te maken voor niet-bestaande Python libraries die dienst deden als gigantische advertenties voor verdachte websites.
De pagina’s bestonden vaak uit een mix van zoekwoorden voor verschillende onderwerpen en eindigden met een verkorte link. ZDNet testte deze link en ontdekte dat hij verwees naar een website die probeert de informatie van je betaalkaart te verkrijgen.
Het team van PyPI geeft aan op de hoogte te zijn van de spamgolf. “Onze beheerders zijn bezig de spam aan te pakken”, zegt Ewa Jodlowska, Executive Director van de Python Software Foundation. “Vanwege de aard van pypi.org kan iedereen iets publiceren, dus het komt relatief vaak voor”, voegt ze toe. Kort na de verklaring van Jodlowska verdwenen de spamberichten geleidelijk.
Spammers richten zich op GitLab Issues Tracker
Via GitLab kunnen developers en bedrijven broncode repositories hosten en bewerken. Een onbekende aanvaller heeft spamberichten toegevoegd aan de Issues Tracker van duizenden GitLab projecten. Hierdoor kregen duizenden GitLab gebruikers een e-mail met daarin het spambericht. Net als de spam op PyPI, verwezen ook deze berichten naar louche websites.
GitLab was duidelijk niet voorbereid op een dergelijke aanval. Het e-mailsysteem was overweldigd en vertraagde. Hierdoor werden legitieme mails uitgesteld en kwamen ze in de wachtrij terecht.