Пользователи репозитория Python Package Index (PyPI) стали целью активной и сложной фишинговой кампании. Злоумышленники используют поддельные электронные письма и домен-двойник для кражи учетных данных разработчиков, что создает риск компрометации широко используемых программных пакетов и внедрения в них вредоносного кода.
Атака начинается с отправки электронного письма с темой
Ключевая особенность атаки заключается в использовании техники «обратного прокси-фишинга». После того как разработчик вводит свои логин и пароль на поддельной странице, злоумышленники перехватывают эти данные. Сразу после этого пользователя незаметно перенаправляют на настоящий сайт PyPI. Такой метод предотвращает появление сообщений об ошибках и делает кражу учетных данных практически незаметной для жертвы.
В понедельник администратор PyPI Майк Фидлер опубликовал официальное заявление. Он подтвердил, что инцидент не является взломом инфраструктуры самого PyPI, а представляет собой целенаправленную фишинговую атаку на его пользователей. Безопасность серверов репозитория не была нарушена.
Всем пользователям, которые перешли по ссылке из подозрительного письма и ввели свои учетные данные, рекомендуется немедленно сменить пароль от своей учетной записи PyPI. Также необходимо тщательно проверить раздел «История безопасности» (Security History) в аккаунте на предмет любой непредвиденной активности.
Для предотвращения подобных атак рекомендуется не переходить по ссылкам из подозрительных электронных писем. Перед вводом учетных данных следует внимательно, буквально по буквам, проверять URL-адрес в адресной строке браузера. В качестве дополнительного уровня защиты можно использовать менеджеры паролей, которые автоматически заполняют данные только на известных легитимных доменах, и браузерные расширения, подсвечивающие проверенные URL.
Данная атака не является единичным случаем. Она имеет поразительное сходство с недавней кампанией, нацеленной на другую программную экосистему — npm (Node Package Manager). В том инциденте злоумышленники также использовали метод тайпсквоттинга, зарегистрировав домен
В результате атаки на npm было скомпрометировано семь различных пакетов. Через них распространялся вредоносный программный код под названием Scavenger Stealer, предназначенный для сбора конфиденциальных данных из веб-браузеров пользователей.
В одном из зафиксированных случаев злоумышленники использовали полезную нагрузку на JavaScript. Этот скрипт собирал информацию о системе и переменных окружения жертвы, после чего отправлял украденные данные на сервер злоумышленников через соединение WebSocket.
Подобные инциденты являются частью более широкой тенденции атак с использованием социальной инженерии, направленных на разработчиков программного обеспечения. Злоумышленники активно эксплуатируют уязвимости в экосистемах PyPI, npm и GitHub, злоупотребляя доверием и автоматизированными процессами, которые являются центральными в ежедневной работе программистов.
Основными векторами таких атак остаются тайпсквоттинг, то есть регистрация доменов с незначительными ошибками в написании, прямое олицетворение (имперсонация) легитимных сервисов и технически сложные методы, такие как обратный прокси-фишинг, чтобы скрыть факт кражи данных.
Изображение носит иллюстративный характер
Атака начинается с отправки электронного письма с темой
[PyPI] Email verification. В сообщении содержится ссылка, ведущая на мошеннический сайт, расположенный на домене pypi[.]us, который полностью имитирует внешний вид легитимного ресурса pypi[.]org. Отправителем письма также указывается поддельный домен. Ключевая особенность атаки заключается в использовании техники «обратного прокси-фишинга». После того как разработчик вводит свои логин и пароль на поддельной странице, злоумышленники перехватывают эти данные. Сразу после этого пользователя незаметно перенаправляют на настоящий сайт PyPI. Такой метод предотвращает появление сообщений об ошибках и делает кражу учетных данных практически незаметной для жертвы.
В понедельник администратор PyPI Майк Фидлер опубликовал официальное заявление. Он подтвердил, что инцидент не является взломом инфраструктуры самого PyPI, а представляет собой целенаправленную фишинговую атаку на его пользователей. Безопасность серверов репозитория не была нарушена.
Всем пользователям, которые перешли по ссылке из подозрительного письма и ввели свои учетные данные, рекомендуется немедленно сменить пароль от своей учетной записи PyPI. Также необходимо тщательно проверить раздел «История безопасности» (Security History) в аккаунте на предмет любой непредвиденной активности.
Для предотвращения подобных атак рекомендуется не переходить по ссылкам из подозрительных электронных писем. Перед вводом учетных данных следует внимательно, буквально по буквам, проверять URL-адрес в адресной строке браузера. В качестве дополнительного уровня защиты можно использовать менеджеры паролей, которые автоматически заполняют данные только на известных легитимных доменах, и браузерные расширения, подсвечивающие проверенные URL.
Данная атака не является единичным случаем. Она имеет поразительное сходство с недавней кампанией, нацеленной на другую программную экосистему — npm (Node Package Manager). В том инциденте злоумышленники также использовали метод тайпсквоттинга, зарегистрировав домен
npnjs[.]com для имитации официального npmjs[.]com. В результате атаки на npm было скомпрометировано семь различных пакетов. Через них распространялся вредоносный программный код под названием Scavenger Stealer, предназначенный для сбора конфиденциальных данных из веб-браузеров пользователей.
В одном из зафиксированных случаев злоумышленники использовали полезную нагрузку на JavaScript. Этот скрипт собирал информацию о системе и переменных окружения жертвы, после чего отправлял украденные данные на сервер злоумышленников через соединение WebSocket.
Подобные инциденты являются частью более широкой тенденции атак с использованием социальной инженерии, направленных на разработчиков программного обеспечения. Злоумышленники активно эксплуатируют уязвимости в экосистемах PyPI, npm и GitHub, злоупотребляя доверием и автоматизированными процессами, которые являются центральными в ежедневной работе программистов.
Основными векторами таких атак остаются тайпсквоттинг, то есть регистрация доменов с незначительными ошибками в написании, прямое олицетворение (имперсонация) легитимных сервисов и технически сложные методы, такие как обратный прокси-фишинг, чтобы скрыть факт кражи данных.
