Los mantenedores del repositorio de Python Package Index (PYPI) han emitido una advertencia sobre un ataque de phishing en curso que está dirigido a los usuarios en un intento de redirigirlos a los sitios de PYPI fingidos.
El ataque implica remitir mensajes de correo electrónico con la límite de asunto “(PYPI) Demostración de correo electrónico” que se envían desde la dirección de correo electrónico noreply@pypj (.) orgg (Tenga en cuenta que el dominio no es “Pypi (.) Org (“).
“Esta no es una violación de seguridad de PYPI en sí, sino un intento de phishing que explota el fideicomiso que los usuarios tienen en PYPI”, dijo Mike Fiedler, PYPI Admin, en una publicación el lunes.
Los mensajes de correo electrónico instruyen a los usuarios que sigan un enlace para corroborar su dirección de correo electrónico, lo que lleva a un sitio de phishing de réplica que se hace producirse por PYPI y está diseñado para cosechar sus credenciales.
Pero en un vuelta inteligente, una vez que se ingresa la información de inicio de sesión en el sitio inexacto, la solicitud se enruta al sitio oficial de Pypi, engañando efectivamente a las víctimas para que piensen que nadie está mal cuando, en sinceridad, sus credenciales se han transmitido a los atacantes. Este método es más difícil de detectar porque no hay mensajes de error o inicios de sesión fallidos para activar sospechas.
Pypi dijo que está buscando diferentes métodos para manejar el ataque. Mientras tanto, está instando a los usuarios a inspeccionar la URL en el navegador antiguamente de iniciar sesión y desentenderse de hacer clic en el enlace si ya han recibido dichos correos electrónicos.
Si no está seguro de si un correo electrónico es oficial, una demostración rápida del nombre de dominio, giro por giro, puede ayudar. Herramientas como extensiones de navegador que resaltan URL verificadas o administradores de contraseñas que llenan automáticamente solo en dominios conocidos pueden asociar una segunda capa de defensa. Este tipo de ataques no solo engañan a las personas; Su objetivo es obtener llegada a cuentas que puedan anunciar o mandar paquetes ampliamente utilizados.
“Si ya ha hecho clic en el enlace y ha proporcionado sus credenciales, recomendamos cambiar su contraseña en PYPI de inmediato”, dijo Fiedler. “Inspeccione el historial de seguridad de su cuenta para obtener poco inesperado”.
Actualmente no está claro quién está detrás de la campaña, pero la actividad tiene similitudes sorprendentes con un flamante ataque de phishing NPM que empleó un dominio tipográfico “NPNJS (.) Com” (en ocasión de “NPMJS (.) Com”) para remitir correos electrónicos de demostración de correo electrónico similares para capturar las credenciales de los usuarios.
El ataque terminó comprometiendo siete paquetes de NPM diferentes para entregar un malware llamado Stealer Scavenger para compilar datos confidenciales de los navegadores web. En un caso, los ataques allanaron el camino para una carga útil de JavaScript que capturó la información del sistema y las variables de entorno, y exfilaron los detalles a través de una conexión WebSocket.
Se han manido ataques similares en NPM, GitHub y otros ecosistemas donde la confianza y la automatización juegan un papel central. El tipo de insulto, la suplantación y el phishing de proxy inverso son tácticas en esta creciente categoría de ingeniería social que explota cómo los desarrolladores interactúan con las herramientas en las que dependen diariamente.
