کمیته رکن چهارم – مدیران پلتفرم PyPI هشدار دادهاند که یک کمپین فیشینگ هوشمندانه کاربران را هدف قرار داده و آنها را به نسخهای جعلی از سایت PyPI هدایت میکند که با دامنهای بسیار شبیه به سایت اصلی طراحی شده است.
به گزارش کمیته رکن چهارم، یک کمپین فیشینگ با ارسال ایمیلهایی تحت عنوان «[PyPI] Email verification» در حال اجرا است که کاربران را به دامنهای جعلی با نام noreply@pypj[.]org هدایت میکند—دامنهای که تنها با تغییر یک حرف، شباهت زیادی به سایت قانونی pypi[.]org دارد.
مایک فیدلر، یکی از مدیران PyPI، در بیانیهای تأکید کرده که این حمله نشاندهنده نقص امنیتی در خود PyPI نیست، بلکه تلاشی برای سوءاستفاده از اعتماد کاربران است. در ایمیل مذکور، از کاربران خواسته میشود بهمنظور تأیید آدرس ایمیل، روی لینک موجود کلیک کرده و اطلاعات ورود خود را وارد کنند.
پس از وارد کردن نام کاربری و رمز، کاربر بهطور ناگهانی به سایت اصلی هدایت میشود، بنابراین هیچگونه هشدار یا علامتی از نشت داده مشاهده نمیکند و قربانی به شکلی هوشمندانه فریب خورده است.
PyPI در واکنش به این حمله با بررسی روشهای مقابله و تقویت هشدارهای امنیتی کاربران اقدام کرده است. همچنین از کاربران خواسته شده که پیش از ورود، حتماً لینک ایمیل را بررسی کرده و در صورت وارد کردن اطلاعات، رمز عبور خود را فوراً تغییر دهند و سوابق امنیتی (Security History) حسابشان را بازبینی کنند.
این حمله مشابه حمله اخیر علیه مخزن npm است که در آن، دامنهای جعلی با نام npnjs[.]com بهطور دقیق مشابه دامنه اصلی npmjs طراحی شده بود و باعث انتشار بدافزار آسیبزا مانند Scavenger Stealer در پکیجها و مرورگر قربانیان شد.
گونهای از حملات Typo‑squatting، فیشینگ از طریق پراکسی و جعل هویت سایتها، که بهخصوص علیه توسعهدهندگان پکیج در بسترهایی مانند GitHub یا PyPI انجام میشود، روزبهروز پیچیدهتر و فراگیرتر میشوند.
