Сопровождающие Python Package Index (PyPI) выпустили предупреждение о масштабной фишинговой кампании, направленной на пользователей. Злоумышленники пытаются обманом перенаправить разработчиков на поддельные сайты, замаскированные под PyPI, и украсть их учётные данные.
Атака происходит через электронные письма с темой [PyPI] Email verification, которые приходят с адреса noreply@pypj.org (с j вместо i в pypi.org). В письмах содержится ссылка для подтверждения адреса электронной почты. При переходе по ней пользователь попадает на фишинговую страницу, которая визуально почти ничем не отличается от настоящего сайта PyPI.
После ввода логина и пароля на фальшивом ресурсе система перенаправляет пользователя уже на подлинный сайт PyPI, чтобы не вызвать подозрений. Такая схема помогает злоумышленникам без особых усилий собрать учётные данные, а жертвы остаются в неведении, что их аккаунт был скомпрометирован.
Администратор PyPI Майк Фидлер уточнил, что эта ситуация не связана с техническими уязвимостями в PyPI, а представляет собой типичную фишинговую атаку, использующую доверие пользователей к платформе. В PyPI уже разрабатывают меры противодействия этой кампании, но в настоящее время рекомендует всем разработчикам тщательно проверять URL в адресной строке браузера и воздерживаться от перехода по подозрительным ссылкам.
