Los mantenedores del repositorio de Python Package Index (PYPI) han emitido una advertencia sobre un ataque de phishing en curso que está dirigido a los usuarios en un intento de redirigirlos a los sitios de PYPI fingidos.
El ataque implica expedir mensajes de correo electrónico con la raya de asunto «(PYPI) Demostración de correo electrónico» que se envían desde la dirección de correo electrónico noreply@pypj (.) orgg (Tenga en cuenta que el dominio no es «Pypi (.) Org («).
«Esta no es una violación de seguridad de PYPI en sí, sino un intento de phishing que explota el fideicomiso que los usuarios tienen en PYPI», dijo Mike Fiedler, PYPI Admin, en una publicación el lunes.
Los mensajes de correo electrónico instruyen a los usuarios que sigan un enlace para probar su dirección de correo electrónico, lo que lleva a un sitio de phishing de réplica que se hace acontecer por PYPI y está diseñado para cosechar sus credenciales.
Pero en un rotación inteligente, una vez que se ingresa la información de inicio de sesión en el sitio fariseo, la solicitud se enruta al sitio cierto de Pypi, engañando efectivamente a las víctimas para que piensen que nadie está mal cuando, en efectividad, sus credenciales se han transmitido a los atacantes. Este método es más difícil de detectar porque no hay mensajes de error o inicios de sesión fallidos para activar sospechas.
Pypi dijo que está buscando diferentes métodos para manejar el ataque. Mientras tanto, está instando a los usuarios a inspeccionar la URL en el navegador antaño de iniciar sesión y privarse de hacer clic en el enlace si ya han recibido dichos correos electrónicos.
Si no está seguro de si un correo electrónico es cierto, una comprobación rápida del nombre de dominio, documento por documento, puede ayudar. Herramientas como extensiones de navegador que resaltan URL verificadas o administradores de contraseñas que llenan automáticamente solo en dominios conocidos pueden adicionar una segunda capa de defensa. Este tipo de ataques no solo engañan a las personas; Su objetivo es obtener paso a cuentas que puedan anunciar o ordenar paquetes ampliamente utilizados.
«Si ya ha hecho clic en el enlace y ha proporcionado sus credenciales, recomendamos cambiar su contraseña en PYPI de inmediato», dijo Fiedler. «Inspeccione el historial de seguridad de su cuenta para obtener poco inesperado».
Actualmente no está claro quién está detrás de la campaña, pero la actividad tiene similitudes sorprendentes con un nuevo ataque de phishing NPM que empleó un dominio tipográfico «NPNJS (.) Com» (en circunstancia de «NPMJS (.) Com») para expedir correos electrónicos de comprobación de correo electrónico similares para capturar las credenciales de los usuarios.
El ataque terminó comprometiendo siete paquetes de NPM diferentes para entregar un malware llamado Stealer Scavenger para resumir datos confidenciales de los navegadores web. En un caso, los ataques allanaron el camino para una carga útil de JavaScript que capturó la información del sistema y las variables de entorno, y exfilaron los detalles a través de una conexión WebSocket.
Se han conocido ataques similares en NPM, GitHub y otros ecosistemas donde la confianza y la automatización juegan un papel central. El tipo de insulto, la suplantación y el phishing de proxy inverso son tácticas en esta creciente categoría de ingeniería social que explota cómo los desarrolladores interactúan con las herramientas en las que dependen diariamente.
