Аналитики Python Software Foundation зафиксировали новую волну фишинга, нацеленного на пользователей и мейнтейнеров PyPI - популярного репозитория для Python-пакетов.
Злоумышленники рассылают письма якобы от имени администрации PyPI с просьбой «верифицировать» учётную запись.
В сообщении содержатся угрозы блокировки, если действие не будет выполнено, и ссылка на поддельный сайт.
Переход по ссылке ведёт к домену pypi-mirror.org, который визуально полностью копирует оригинальный ресурс, однако является инструментом для кражи данных. При попытке авторизации злоумышленники получают логин и пароль жертвы и одновременно отправляют их на настоящий сайт, чтобы сохранить иллюзию нормальной работы платформы.
В атаке особенно уязвимы разработчики, чьи контактные почты автоматически указываются в метаданных пакетов. Опасность в том, что украденные креденшлы могут быть использованы для публикации вредоносных обновлений в библиотеках, что создаёт угрозу цепной компрометации программного обеспечения.
Ранее подобные атаки уже фиксировались - летом 2025 года использовался домен pypj[.]org с аналогичной схемой. Эксперты отмечают: злоумышленники регулярно обновляют домены, чтобы обходить блокировки.
Злоумышленники рассылают письма якобы от имени администрации PyPI с просьбой «верифицировать» учётную запись.
В сообщении содержатся угрозы блокировки, если действие не будет выполнено, и ссылка на поддельный сайт.
Переход по ссылке ведёт к домену pypi-mirror.org, который визуально полностью копирует оригинальный ресурс, однако является инструментом для кражи данных. При попытке авторизации злоумышленники получают логин и пароль жертвы и одновременно отправляют их на настоящий сайт, чтобы сохранить иллюзию нормальной работы платформы.
В атаке особенно уязвимы разработчики, чьи контактные почты автоматически указываются в метаданных пакетов. Опасность в том, что украденные креденшлы могут быть использованы для публикации вредоносных обновлений в библиотеках, что создаёт угрозу цепной компрометации программного обеспечения.
Ранее подобные атаки уже фиксировались - летом 2025 года использовался домен pypj[.]org с аналогичной схемой. Эксперты отмечают: злоумышленники регулярно обновляют домены, чтобы обходить блокировки.
