Хакеры атакуют разработчиков Python с помощью фишинговых атак, используя поддельный сайт PyPI

На этой неделе организация Python Software Foundation предупредила пользователей о том, что злоумышленники пытаются украсть их учетные данные с помощью фишинговых атак, используя поддельный веб-сайт Python Package Index (PyPI).

PyPI — это репозиторий пакетов Python, доступный по адресу pypi.org, который предоставляет разработчикам централизованную платформу для распространения и установки сторонних программных библиотек. Он содержит сотни тысяч пакетов и является источником по умолчанию для инструментов управления пакетами Python.

«PyPI не был взломан, но пользователи подвергаются фишинговой атаке, целью которой является попытка обманным путём заставить их войти на поддельный сайт PyPI. За последние несколько дней пользователи, опубликовавшие проекты на PyPI, указав свой адрес электронной почты в метаданных пакета, могли получить электронное письмо с заголовком «[PyPI] Подтверждение адреса электронной почты» с адреса noreply@pypj.org», — предупредил администратор PyPI Майк Фидлер .

«Это не нарушение безопасности самого PyPI, а скорее попытка фишинга, использующая доверие пользователей к PyPI. В письме пользователям предлагается перейти по ссылке для подтверждения адреса электронной почты, что ведёт на фишинговый сайт, похожий на PyPI, но не являющийся официальным сайтом».

После открытия вредоносного веб-сайта целевым пользователям будет предложено войти в систему, а запросы будут отправлены обратно в PyPI, чтобы обмануть пользователей и заставить их поверить, что они вошли в систему PyPI.

Однако вместо этого злоумышленники собирают их учетные данные, которые, скорее всего, будут использованы в будущих атаках для заражения вредоносным ПО пакетов Python, загруженных ими на PyPI, или для загрузки новых вредоносных пакетов на платформу.

Поддельный сайт pypj[.]org (BleepingComputer)

Администраторы PyPI также добавили баннер на домашнюю страницу PyPI, предупреждающий пользователей об этой фишинговой атаке, и теперь работают над поиском способа остановить эту продолжающуюся кампанию.

«Мы также ждем, когда поставщики CDN и регистраторы имен ответят на уведомления о товарных знаках и злоупотреблениях, которые мы им отправили в отношении фишингового сайта», — добавил Фидлер.

Разработчикам Python и пользователям PyPI, получившим эти фишинговые письма, рекомендуется не нажимать на встроенные ссылки и немедленно удалить письмо.

Тем, кто уже ввел свои учетные данные на фишинговом сайте pypj[.]org, следует немедленно сменить пароль PyPI и проверить историю безопасности своих учетных записей на предмет подозрительной или неожиданной активности.

В феврале Python Software Foundation представила «Project Archival » — новую систему, призванную помочь издателям PyPI архивировать свои проекты, сообщая пользователям, что обновлений не ожидается.

PyPI также была вынуждена временно приостановить регистрацию пользователей и создание новых проектов в марте 2024 года из-за вредоносной кампании, связанной со злоумышленниками, которые загрузили сотни новых вредоносных пакетов, маскирующихся под легитимные проекты.