Основы Интернет - технологий.

Команда Python Software Foundation вновь предупреждает разработчиков, использующих Python Package Index (PyPI), о фишинговой кампании. Злоумышленники используют подмену доменов для сбора учетных данных.

Эта кампания продолжает атаки на разработчиков, проведенные в июле текущего года. Пользователям вновь рассылают письма с просьбой подтвердить свой email-адрес в целях безопасности. В противном случае аккаунты якобы могут быть заблокированы из-за отсутствия действий.

Ларсон напоминает, что настройка устойчивой к фишингу многофакторной аутентификации (МФА) помогает мейнтейнерам PyPI снизить риски, связанные с подобными фишинговыми атаками. Также специалист советует никогда не переходить по ссылкам из писем и использовать менеджеры паролей, которые автоматически заполняют данные на основе доменных имен.

Тем, кто уже кликнул на вредоносные ссылки в таких письмах и ввел свои учетные данные на мошенническом сайте, рекомендуется немедленно сменить пароли, проверить историю безопасности аккаунта на предмет аномалий и сообщить о подозрительной активности.

Целью злоумышленников является кража учетных данных жертв, которые затем будут использованы в последующих атаках. Например, для компрометации пакетов, уже опубликованных в PyPI, и заражения их вредоносным ПО, а также для публикации новых вредоносных пакетов.

Стоит отметить, что недавно похожим фишинговым атакам подверглись мейнтейнеры пакетов в npm: их просили обновить информацию МФА во избежание блокировки аккаунта.

Эта вредоносная кампания оказалась весьма успешной и затронула сразу нескольких мейнтейнеров, включая Джоша Джунона (Josh Junon), также известного под ником Qix, который поддерживает 18 пакетов, насчитывающих более 2,5 млрд еженедельных загрузок.

В итоге компрометация аккаунта Джунона привела к публикации десятков вредоносных версий пакетов и была названа крупнейшей в истории npm атакой на цепочку поставок.