El Python Package Index (PYPI) ha emitido una advertencia urgente a los desarrolladores sobre una campaña de phishing en curso que explota las técnicas de falsificación de dominio para robar credenciales de los usuarios.
Este sofisticado ataque se dirige a los desarrolladores que han publicado paquetes en el repositorio oficial, aprovechando su confianza en el ecosistema PYPI para cosechar credenciales de inicio de sesión a través de un sitio web falso cuidadosamente elaborado que imita la plataforma legítima.
Control de llave
1. Correos electrónicos falsos de Pypj.org Redirect a un sitio Pypi falsificado, robando credenciales.
2. PYPI oficial sin compromisos, pero los desarrolladores con correos electrónicos públicos están siendo atacados.
3. Verifique el dominio pypi.org, elimine los correos electrónicos sospechosos y cambie la contraseña si está comprometida.
Descripción general de la campaña Pypi Phishing
La campaña de phishing opera a través de un vector de ataque de varias etapas que comienza con correos electrónicos fraudulentos enviados desde el dominio (correos electrónicos protegidos), que utiliza el tipo de tipográfico al reemplazar el ‘I’ en el dominio legítimo Pypi.org con una ‘J’ minúscula.
Los correos electrónicos maliciosos llevan la línea de asunto “(PYPI) Verificación de correo electrónico” y de NorePly@Pypj (.) Org específicamente a los usuarios que han publicado proyectos en PYPI con sus direcciones de correo electrónico incluidas en los metadatos del paquete.
Cuando los destinatarios hacen clic en el enlace de verificación, se redirigen a un sitio de phishing sofisticado que replica estrechamente la interfaz PYPI oficial.
El sitio falso emplea un mecanismo de autenticación de transferencia, donde las credenciales de los usuarios se capturan y se envían simultáneamente a los servidores PYPI legítimos.
Esta técnica crea la ilusión de que los usuarios han iniciado sesión con éxito en la plataforma PYPI real mientras los atacantes están cosechando sus credenciales.
El ataque demuestra principios avanzados de ingeniería social al explotar la relación de confianza establecida entre los desarrolladores y el ecosistema PYPI.
Los administradores de PYPI han confirmado que su infraestructura sigue siendo segura y que esto representa un intento de phishing externo en lugar de una violación de seguridad directa de sus sistemas.
La organización ha implementado contramedidas inmediatas, incluida la visualización de un Banner de advertencia prominente en la página de inicio de PYPI para alertar a los usuarios sobre el ataque en curso.
Además, PYPI ha iniciado notificaciones formales de marca y abuso a proveedores de redes de entrega de contenido (CDN) y registradores de nombres de dominio para facilitar el derribo de la infraestructura maliciosa.
Los expertos en seguridad recomiendan que los desarrolladores inspeccionen inmediatamente las URL en la barra de direcciones de su navegador antes de ingresar credenciales y eliminar cualquier correo electrónico sospechoso sin hacer clic en los enlaces integrados.
Los usuarios que ya han sido víctimas del ataque deben cambiar de inmediato sus contraseñas de PYPI y revisar el historial de seguridad de su cuenta para cualquier actividad no autorizada.
Experimenta una detección de phishing más rápida y precisa y una protección mejorada para su negocio con análisis de sandbox en tiempo real-> Prueba cualquiera.
