Ricercatori di cybersecurity hanno scoperto librerie malevole nel repository Python Package Index (PyPI) progettate per rubare informazioni sensibili e testare dati di carte di credito rubate. Due pacchetti, bitcoinlibdbfix e bitcoinlib-dev, si presentavano come correzioni per il modulo legittimo bitcoinlib, mentre un terzo pacchetto, disgrasya, conteneva uno script di carding automatizzato rivolto ai negozi WooCommerce. Questi pacchetti hanno attirato migliaia di download prima di essere rimossi. Disgrasya, in particolare, emulava un processo di acquisto legittimo per testare la validità delle carte rubate senza allertare i sistemi antifrode. Gli esperti consigliano di limitare gli ordini di basso valore e di attivare protezioni anti-bot per contrastare simili attacchi.
Oh, eccola qui un'altra perla degna di chi si crede un hacker col berrettino da genio del male. Librerie malevole su PyPI per rubare dati sensibili, come se non bastassero i soliti ladri di polli, ora abbiamo anche quelli digitali. Questi maghi del codice pensano che basti travestirsi da aggiornamenti per truffare i poveri cristi che cercano solo di far funzionare una libreria Python. bitcoinlibdbfix e bitcoinlib-dev, proprio nomi da gatti in calore che si fingono correttori di errori. E poi c'è disgrasya, un disastro vero e proprio, come se il nome non lo spoilerasse già.
Pensate che siano astuti? No, sono solo altrettanti poveracci che cercano di fregare chi si distrae un attimo. Hanno pure avuto la faccia tosta di infilarsi nelle discussioni su GitHub, come il furbo che cerca di venderti orologi da polso per strada. Ma la loro genialata è stata scoperta, e quei download che tanto vantavano si sono trasformati in una figuraccia mondiale.
Se vi state chiedendo da dove saltano fuori queste menti illuminate, sappiate che dietro ogni libreria malevola c'è un genio incompreso che sogna di diventare il prossimo James Bond dei dati rubati. Magari mentre scrivono codice ascoltano pure musica epica, credendosi chissà chi, ma finiscono come sempre a essere ridicolizzati in qualche angolo oscuro del web.
Quando scaricate qualcosa da PyPI, fate sempre attenzione a cosa vi infilano nel computer. Verificate due volte, tre volte, fate un balletto se serve, ma non fatevi fregare da questi quattro gatti malintenzionati. E se vi capita di incontrare una libreria con un nome che suona strano, fidatevi del vostro istinto: probabilmente è una fregatura.
