PSF avverte del falso sito di accesso PyPI che ruba le credenziali degli utenti

La Python Software Foundation (PSF) mette in guardia gli sviluppatori da una nuova campagna di phishing che prende di mira gli utenti del Python Package Index ( PyPI ) con e-mail convincenti ma false e un sito di accesso falso.

Le email chiedono ai destinatari di verificare i dettagli del proprio account per "procedure di manutenzione e sicurezza". Chi non segue le istruzioni viene minacciato di sospensione dell'account e il link su cui sono invitati a cliccare conduce a un sito contraffatto ospitato su pypi-mirror.org .

Seth Larson, uno sviluppatore del PSF, ha spiegato che chiunque abbia inserito le proprie credenziali sul sito di phishing dovrebbe cambiare immediatamente la password PyPI e controllare la cronologia di sicurezza del proprio account per eventuali attività insolite. Ha inoltre incoraggiato gli utenti a segnalare email sospette o tentativi di phishing direttamente a [email protected] .

Il pericolo dietro questi attacchi non si limita ai singoli account. Una volta ottenuti i dati di accesso, gli autori delle minacce possono manomettere i pacchetti attendibili già pubblicati su PyPI o diffonderne di nuovi con malware. Ciò potrebbe esporre sviluppatori e aziende che fanno affidamento su tali pacchetti, con un impatto su chiunque vi faccia affidamento.

Questa campagna non è la prima del suo genere. Un tentativo simile a luglio ha utilizzato il dominio pypj.org per indurre gli sviluppatori a fornire i propri dati di accesso. L'ultimo attacco segue la stessa struttura, il che suggerisce che in futuro potrebbero comparire altri domini di phishing.

I responsabili di PyPI hanno già preso provvedimenti contattando i registrar e le reti di distribuzione dei contenuti per rimuovere i domini dannosi, inserendoli nelle blocklist dei browser e coordinandosi con altre piattaforme open source per migliorare i tempi di risposta. Stanno anche esplorando modi per rafforzare l'autenticazione a due fattori in modo da ridurre l'efficacia dei tentativi di phishing.

Shane Barney , Chief Information Security Officer di Keeper Security, ha affermato che il phishing non sta scomparendo; si sta adattando. Gli aggressori continueranno a creare nuovi domini per ingannare gli utenti, ma il vero obiettivo dei responsabili della sicurezza dovrebbe essere limitare i danni quando qualcuno inevitabilmente clicca.

Secondo Barney, tutto inizia con metodi di autenticazione più efficaci, come le chiavi hardware YubiKeys, che resistono ai tentativi di phishing. In combinazione con gestori di password che compilano automaticamente le credenziali solo sui domini verificati, i due approcci bloccano i percorsi più comuni utilizzati dagli aggressori.

Per le aziende, ha aggiunto, la gestione degli accessi privilegiati svolge un ruolo fondamentale, imponendo il principio del privilegio minimo, limitando gli spostamenti laterali e monitorando le attività. Anche se il codice dannoso riesce a passare, non può diffondersi incontrollato. "L'obiettivo non è eliminare ogni rischio, ma creare sufficienti barriere di sicurezza affinché una password rubata non si trasformi in una violazione conclamata", ha affermato Barney.

Tuttavia, non cliccare sui link presenti nelle email a meno che non siate stati voi stessi a iniziare l'azione, affidatevi a domini legittimi verificati e valutate l'utilizzo di chiavi hardware per l'autenticazione a due fattori a prova di phishing . È inoltre consigliabile condividere email sospette con colleghi o canali della community, poiché essere prudenti aiuta a proteggere non solo uno sviluppatore, ma l'intera community Python.