2025年7月29日Ravie Lakshmananフィッシング / 開発者セキュリティ
Pythonパッケージインデックス(PyPI)リポジトリの管理者は、ユーザーを偽のPyPIサイトに誘導しようとする継続中のフィッシング攻撃について警告を発表しました。
この攻撃では、「[PyPI] Email verification」という件名のメールが、noreply@pypj[.]org(ドメインが「pypi[.]org」ではないことに注意)というメールアドレスから送信されます。
「これはPyPI自体のセキュリティ侵害ではなく、PyPIに対するユーザーの信頼を悪用したフィッシング攻撃です」とPyPI管理者のMike Fiedler氏は、月曜日の投稿で述べています。
このメールは、ユーザーにメールアドレスの認証を促すリンクをクリックするよう指示し、そのリンクはPyPIを装ったフィッシングサイトのレプリカに誘導し、認証情報を盗み取るよう設計されています。
しかし巧妙な点として、偽サイトにログイン情報を入力すると、そのリクエストが正規のPyPIサイトに転送されるため、被害者は何も問題が起きていないと錯覚しますが、実際には認証情報が攻撃者に渡っています。この手法はエラーメッセージやログイン失敗が発生しないため、発見が難しくなっています。
PyPIはこの攻撃への対応方法を検討中であり、その間、ユーザーにはサインイン前にブラウザのURLを確認し、すでにこのようなメールを受け取っている場合はリンクをクリックしないよう呼びかけています。
メールが正当かどうか不安な場合は、ドメイン名を一文字ずつ確認することで素早くチェックできます。認証済みURLを強調表示するブラウザ拡張機能や、既知のドメインでのみ自動入力するパスワードマネージャーなどのツールを使うことで、二重の防御が可能です。この種の攻撃は個人を騙すだけでなく、広く利用されているパッケージの公開や管理を行うアカウントへのアクセスを狙っています。
「もし既にリンクをクリックして認証情報を入力してしまった場合は、直ちにPyPIのパスワードを変更することを推奨します」とFiedler氏は述べています。「アカウントのセキュリティ履歴に不審な点がないか確認してください。」
現時点でこのキャンペーンの背後にいる人物は不明ですが、この活動は最近発生したnpmのフィッシング攻撃と非常によく似ています。この攻撃では、「npmjs[.]com」ではなく「npnjs[.]com」というタイポスクワットドメインを使い、同様のメール認証メールを送信してユーザーの認証情報を盗み取っていました。
この攻撃により、7つの異なるnpmパッケージが侵害され、「Scavenger Stealer」と呼ばれるマルウェアが配布され、ウェブブラウザから機密データを収集しました。あるケースでは、攻撃者がシステム情報や環境変数を取得し、その詳細をWebSocket接続を通じて外部に送信するJavaScriptペイロードを実行する道が開かれました。
同様の攻撃は、npm、GitHub、その他のエコシステムでも見られており、信頼と自動化が中心的な役割を果たしています。タイポスクワッティング、なりすまし、リバースプロキシフィッシングは、開発者が日常的に利用するツールとのやり取りを悪用する、社会的エンジニアリングのこの拡大するカテゴリーにおける戦術です。
翻訳元: https://thehackernews.com/2025/07/pypi-warns-of-ongoing-phishing-campaign.html