Pythonソフトウェア財団は、偽のPython Package Index(PyPI)ウェブサイトを利用した新たなフィッシング攻撃の被害者に対し、認証情報のリセットを警告しました。
pypi.orgでアクセス可能なPyPIは、Pythonのパッケージ管理ツールのデフォルトソースであり、数十万のパッケージをホストし、開発者がサードパーティ製ソフトウェアライブラリを配布するための集中型プラットフォームを提供しています。
Pythonソフトウェア財団の開発者であるSeth Larson氏によると、フィッシングメールはターゲットに対して「アカウントのメンテナンスとセキュリティ手続き」のために「メールアドレスの確認」を求め、アカウント停止をちらつかせてpypi-mirror[.]orgのフィッシングページへ誘導するとのことです。
「すでにリンクをクリックして認証情報を入力してしまった場合は、直ちにPyPIのパスワードを変更することを推奨します」とLarson氏は述べています。「アカウントのセキュリティ履歴に不審な点がないか確認してください。PyPIに対するフィッシングキャンペーンなどの疑わしい活動は、security@pypi.orgまで報告してください。」
攻撃者は被害者の認証情報を盗み出し、PyPIに公開されているPythonパッケージにマルウェアを仕込んだり、新たな悪意のあるパッケージを公開したりするなど、今後の攻撃に利用する可能性があります。
これらの攻撃は、7月にもpypj[.]orgドメインを利用し、潜在的な被害者を偽のPyPIサイトにログインさせようとしたフィッシングキャンペーンの一部です。(詳細はこちら)
Larson氏は、PyPIパッケージの管理者に対し、メール内のリンクを決してクリックせず、ドメイン名に基づいて自動入力されるパスワードマネージャーを利用するよう助言しています。
さらに、アカウントをハッキングから守るため、ハードウェアキーなどのフィッシング耐性の高い二要素認証(2FA)を利用し、行動を起こす前に疑わしいメールを他の人と共有することも推奨しています。
また、ユーザーはドメインを悪意のあるものとして報告したり、レジストラに連絡してドメインの削除を依頼することで、攻撃者が他のPyPIユーザーを騙す試みを阻止する手助けもできます。
先週、Pythonソフトウェア財団チームは、9月初旬に発生したGhostActionサプライチェーン攻撃で盗まれたすべてのPyPIトークンを無効化し、攻撃者がそれらを悪用してマルウェアを公開していなかったことを確認しました。
2024年3月には、PyPIは攻撃者が正規のパッケージを装った数百の悪意あるパッケージを公開したことを受けて、一時的にユーザー登録と新規プロジェクト作成を停止しました。
