Un mantenedor del repositorio de Python Package Index (PYPI) ha emitido una advertencia sobre un ataque de phishing en curso que se dirige a los usuarios para redirigirlos para forjar sitios PYPI.
Un ataque implica enviar un mensaje de correo electrónico con la línea de asunto. «(PYPI) VERIFICACIÓN DE ELECCIÓN» se envía desde la dirección de correo electrónico noreply@pypj (.) Org (tenga en cuenta que el dominio no es «pypi (.) Org»).
«Esta no es una violación de Phi Phi en sí, sino un intento de phishing de utilizar los fideicomisos en poder de los usuarios de la confianza en Phi Phi», dijo el administrador de PHI Phi, Mike Feedler, en un puesto de lunes.
Un mensaje de correo electrónico le dice al usuario que siga el enlace para verificar su dirección de correo electrónico. Esto lleva a los sitios de phishing de réplica diseñados para hacerse pasar por las credenciales de PYPI y cosechar.
Sin embargo, un giro inteligente hace que la víctima piense que cuando se ingresa información de inicio de sesión en un sitio falso, la solicitud se enruta a un sitio legal de PYPI, y cuando el atacante realmente recibe sus calificaciones, hace que la víctima piense que nada es injusto en realidad. Este método es difícil de detectar porque no hay mensajes de error o inicios de sesión que no hayan podido iniciar sesión para activar sospechas.
Pypi dijo que está considerando varias formas de manejar el ataque. Mientras tanto, alienta a los usuarios a inspeccionar la URL de su navegador antes de iniciar sesión, y evita hacer clic en el enlace si ya han recibido dichos correos electrónicos.
Si no está seguro de si el correo electrónico es legal, puede ayudar una verificación rápida de su nombre de dominio (letra por carácter). Herramientas como las extensiones del navegador que resaltan URL validadas o administradores de contraseñas que solo se enfrentan solo con dominios conocidos pueden agregar una segunda capa de defensa. Este tipo de ataques no solo engañan a las personas. Su objetivo es acceder a cuentas que puedan publicar o administrar paquetes ampliamente utilizados.
«Si ya ha hecho clic en un enlace para proporcionar sus credenciales, le recomendamos que cambie su contraseña inmediatamente en PYPI», dice Fiedler. «Inspeccione el historial de seguridad de su cuenta por razones inesperadas».
No está claro en este momento quién está detrás de la campaña, pero la actividad tiene una notable similitud con los recientes ataques de phishing NPM que emplean el dominio de corte tipo «npnjs (.) Com» («npmjs (.) Com») enviando correos electrónicos de verificación de correo electrónico similares para capturar correos electrónicos de autenticación de usuarios.
El ataque comprometió siete paquetes de NPM diferentes, distribuyendo malware llamado Scavenger Stealer y recopilando datos confidenciales de los navegadores web. En un caso, el ataque allanó el camino para una carga útil de JavaScript que capturó la información del sistema y las variables de entorno y extrajo detalles a través de una conexión WebSocket.
Se han visto ataques similares en NPM, GitHub y otros ecosistemas, con confianza y automatización que juegan un papel central. Los tipos de phishing, suplantación y proxy inversa son tácticas en esta creciente categoría de ingeniería social que aprovechan la forma en que los desarrolladores interactúan con las herramientas en las que confían todos los días.
Source link
