De onderhouders van de Repository Python Package Index (PYPI) hebben een waarschuwing uitgegeven over een voortdurende phishing -aanval die gebruikers richt in een poging hen om te leiden naar nep PYPI -sites.
De aanval omvat het verzenden van e -mailberichten met de onderwerpregel “(PYPI) e -mailverificatie” die vanuit het e -mailadres worden verzonden noreply@pypj (.) org (Merk op dat het domein niet “ispypi (.) org“).
“Dit is geen beveiligingsbreuk van PYPI zelf, maar eerder een phishing -poging die exploiteert dat gebruikers in PYPI hebben,” zei Mike Fiedler, PYPI -admin, in een post maandag.
De e -mailberichten instrueren gebruikers om een link te volgen om hun e -mailadres te verifiëren, wat leidt tot een replica phishing -site die PYPI voorlegt en is ontworpen om hun referenties te oogsten.
Maar in een slimme wending, zodra de inloginformatie op de nepsite is ingevoerd, wordt het verzoek naar de legitieme PYPI -site geleid, waardoor de slachtoffers effectief voor de gek houden door te denken dat niets mis is wanneer hun geloofsbrieven in werkelijkheid aan de aanvallers zijn doorgegeven. Deze methode is moeilijker te detecteren omdat er geen foutmeldingen of mislukte aanmeldingen zijn om verdenking te activeren.
PYPI zei dat het naar verschillende methoden kijkt om de aanval aan te kunnen. Ondertussen dringt het er bij gebruikers op aan om de URL in de browser te inspecteren voordat het zich aanmeldt en afgezien van het klikken op de link als ze dergelijke e -mails al hebben ontvangen.
Als u niet zeker weet of een e -mail legitiem is, kan een snelle controle van de domeinnaam – per brief – helpen. Tools zoals browservertensies die geverifieerde URL’s of wachtwoordbeheerders markeren die alleen op bekende domeinen automatisch worden gevuld, kunnen een tweede verdedigingslaag toevoegen. Dit soort aanvallen misleiden niet alleen individuen; Ze willen toegang krijgen tot accounts die veel gebruikte pakketten kunnen publiceren of beheren.
“Als u al op de link hebt geklikt en uw inloggegevens hebt verstrekt, raden we aan uw wachtwoord op PYPI onmiddellijk te wijzigen,” zei Fiedler. “Inspecteer de beveiligingsgeschiedenis van uw account op alles wat onverwachts is.”
Het is momenteel niet duidelijk wie achter de campagne zit, maar de activiteit vertoont opvallende overeenkomsten met een recente NPM phishing -aanval die een typosquatted domein “npnjs (.) Com” gebruikte (in tegenstelling tot “npmjs (.) Com”) om vergelijkbare e -mailverificatie -e -mails te verzenden om gebruikers vast te leggen.
De aanval heeft uiteindelijk zeven verschillende NPM -pakketten gecompromitteerd om een malware te leveren genaamd Scavenger Stealer om gevoelige gegevens van webbrowsers te verzamelen. In één geval maakten de aanvallen de weg vrij voor een JavaScript -payload die systeeminformatie en omgevingsvariabelen vastlegde en de details over een WebSocket -verbinding heeft geëxfiltreerd.
Soortgelijke aanvallen zijn gezien in NPM, GitHub en andere ecosystemen waar vertrouwen en automatisering een centrale rol spelen. Typefouten, imitatie en omgekeerde proxy -phishing zijn allemaal tactieken in deze groeiende categorie sociale engineering die exploiteren hoe ontwikkelaars omgaan met tools waarop ze dagelijks vertrouwen.
