Хакери знову атакують Python-розробників, пропонуючи фейковий сайт PyPI

Python Software Foundation (PSF) попереджає користувачів про нову серію фішингових атак з використанням фейкового веб-сайту Python Package Index (PyPI). Про це повідомляє The Register.

За словами представника PSF Сета Ларсона, хакери розсилають листи Python-розробникам, в яких просять підтвердити свій обліковий запис для «процедур обслуговування облікового запису та безпеки». Невиконання цієї вимоги нібито призведе до блокування акаунту.

Посилання, вказане у фішинговому листі, веде на pypi-mirror[.]org — домен, який не належить ні PyPI, ні PSF. Після того, як розробник введе свої облікові дані на цьому сайті, зловмисники отримають можливість контролювати його акаунт PyPI. 

Маючи доступ до облікових записів розробників, хакери можуть завантажувати та розповсюджувати шкідливе програмне забезпечення в існуючі пакети Python або навіть публікувати абсолютно нові шкідливі пакети, які потім запускалися б на комп’ютерах користувачів і викрадали секрети, облікові дані, криптовалютні гаманці та інші конфіденційні дані.

«Якщо ви вже натиснули на посилання та надали хакерам свої облікові дані, ми рекомендуємо негайно змінити пароль на PyPI», — написав Ларсон, додавши, що користувачам також слід перевірити історію безпеки своїх облікових записів на наявність будь-яких незвичних дій та повідомити про підозрілу активність, таку як потенційні фішингові електронні листи, на адресу security@pypi.org.

На думку представника Python Software Foundation, ці атаки є продовженням липневої кампанії, спрямованої на користувачів PyPI з використанням іншого фейкового домену — pypj[.]org, який копіював оригінальний pypi.org. «Судячи з цього, ми вважаємо, що цей тип кампанії продовжиться з новими доменами в майбутньому».