Команда Python Software Foundation вновь предупреждает разработчиков, использующих Python Package Index (PyPI), о фишинговой кампании. Злоумышленники используют подмену доменов для сбора учетных данных.
Эта кампания продолжает атаки на разработчиков, проведенные в июле текущего года. Пользователям вновь рассылают письма с просьбой подтвердить свой email-адрес в целях безопасности. В противном случае аккаунты якобы могут быть заблокированы из-за отсутствия действий.
«Такие письма являются поддельными, а ссылка в них ведет на pypi-mirror[.]org — домен, который не принадлежит PyPI или PSF (Python Software Foundation)», — предупреждает Сет Ларсон (Seth Larson), штатный разработчик по безопасности в PSF.
Ларсон напоминает, что настройка устойчивой к фишингу многофакторной аутентификации (МФА) помогает мейнтейнерам PyPI снизить риски, связанные с подобными фишинговыми атаками. Также специалист советует никогда не переходить по ссылкам из писем и использовать менеджеры паролей, которые автоматически заполняют данные на основе доменных имен.
Тем, кто уже кликнул на вредоносные ссылки в таких письмах и ввел свои учетные данные на мошенническом сайте, рекомендуется немедленно сменить пароли, проверить историю безопасности аккаунта на предмет аномалий и сообщить о подозрительной активности.
Целью злоумышленников является кража учетных данных жертв, которые затем будут использованы в последующих атаках. Например, для компрометации пакетов, уже опубликованных в PyPI, и заражения их вредоносным ПО, а также для публикации новых вредоносных пакетов.
Стоит отметить, что недавно похожим фишинговым атакам подверглись мейнтейнеры пакетов в npm: их просили обновить информацию МФА во избежание блокировки аккаунта.
Эта вредоносная кампания оказалась весьма успешной и затронула сразу нескольких мейнтейнеров, включая Джоша Джунона (Josh Junon), также известного под ником Qix, который поддерживает 18 пакетов, насчитывающих более 2,5 млрд еженедельных загрузок.
В итоге компрометация аккаунта Джунона привела к публикации десятков вредоносных версий пакетов и была названа крупнейшей в истории npm атакой на цепочку поставок.
