Los mantenedores del repositorio de Python Package Index (PYPI) han emitido una advertencia sobre un ataque de phishing en curso que está dirigido a los usuarios en un intento de redirigirlos a los sitios de PYPI fingidos.
El ataque implica enviar mensajes de correo electrónico con la línea de asunto «(PYPI) Verificación de correo electrónico» que se envían desde la dirección de correo electrónico noreply@pypj (.) orgg (Tenga en cuenta que el dominio no es «Pypi (.) Org («).
«Esta no es una violación de seguridad de PYPI en sí, sino un intento de phishing que explota el fideicomiso que los usuarios tienen en PYPI», dijo Mike Fiedler, PYPI Admin, en una publicación el lunes.
Los mensajes de correo electrónico instruyen a los usuarios que sigan un enlace para verificar su dirección de correo electrónico, lo que lleva a un sitio de phishing de réplica que se hace pasar por PYPI y está diseñado para cosechar sus credenciales.
Pero en un giro inteligente, una vez que se ingresa la información de inicio de sesión en el sitio falso, la solicitud se enruta al sitio legítimo de Pypi, engañando efectivamente a las víctimas para que piensen que nada está mal cuando, en realidad, sus credenciales se han transmitido a los atacantes. Este método es más difícil de detectar porque no hay mensajes de error o inicios de sesión fallidos para activar sospechas.
Pypi dijo que está buscando diferentes métodos para manejar el ataque. Mientras tanto, está instando a los usuarios a inspeccionar la URL en el navegador antes de iniciar sesión y abstenerse de hacer clic en el enlace si ya han recibido dichos correos electrónicos.
Si no está seguro de si un correo electrónico es legítimo, una verificación rápida del nombre de dominio, letra por letra, puede ayudar. Herramientas como extensiones de navegador que resaltan URL verificadas o administradores de contraseñas que llenan automáticamente solo en dominios conocidos pueden agregar una segunda capa de defensa. Este tipo de ataques no solo engañan a las personas; Su objetivo es obtener acceso a cuentas que puedan publicar o administrar paquetes ampliamente utilizados.
«Si ya ha hecho clic en el enlace y ha proporcionado sus credenciales, recomendamos cambiar su contraseña en PYPI de inmediato», dijo Fiedler. «Inspeccione el historial de seguridad de su cuenta para obtener algo inesperado».
Actualmente no está claro quién está detrás de la campaña, pero la actividad tiene similitudes sorprendentes con un reciente ataque de phishing NPM que empleó un dominio tipográfico «NPNJS (.) Com» (en lugar de «NPMJS (.) Com») para enviar correos electrónicos de verificación de correo electrónico similares para capturar las credenciales de los usuarios.
El ataque terminó comprometiendo siete paquetes de NPM diferentes para entregar un malware llamado Stealer Scavenger para recopilar datos confidenciales de los navegadores web. En un caso, los ataques allanaron el camino para una carga útil de JavaScript que capturó la información del sistema y las variables de entorno, y exfilaron los detalles a través de una conexión WebSocket.
Se han visto ataques similares en NPM, GitHub y otros ecosistemas donde la confianza y la automatización juegan un papel central. El tipo de insulto, la suplantación y el phishing de proxy inverso son tácticas en esta creciente categoría de ingeniería social que explota cómo los desarrolladores interactúan con las herramientas en las que dependen diariamente.