针对PyPI维护者的钓鱼活动使用假冒登录网站
Python软件基金会(PSF)已向开发者发出警告,提醒注意近期针对Python软件包索引(PyPI)用户的钓鱼活动。该攻击利用欺诈性电子邮件和伪造登录网站窃取凭证,对开源生态系统构成日益严重的威胁。
钓鱼手法
该活动始于伪装成PyPI官方通信的钓鱼邮件。这些邮件要求收件人验证账户详细信息以进行所谓的维护和安全程序,并威胁称如不配合将暂停账户,这种策略旨在制造紧迫感并降低用户警惕性。
恶意邮件链接至pypi-mirror[.]org,这是一个仿冒官方PyPI镜像的域名。当用户尝试在此欺诈网站上登录时,其凭证就会被攻击者窃取。该伪造网站与PyPI合法登录页面几乎完全相同,采用HTTPS加密、官方徽标和精确样式以增强可信度。
更广泛的风险
这些攻击的危险性不仅限于个人账户被盗。被盗凭证使威胁行为者能够篡改或替换PyPI上发布的受信任软件包。鉴于全球组织和开发者对开源软件包的依赖,即使单个维护者账户被入侵也可能产生深远影响。
如果攻击者获得维护者凭证,他们可以篡改现有软件包或上传看似合法的恶意更新。由于PyPI软件包被集成到无数软件项目和自动化构建流水线中,这种入侵可能悄无声息地将恶意软件引入各行各业使用的应用程序和服务。
这种风险并非理论上的——过去如npm攻击等事件表明,单个被入侵的软件包如何在整个供应链中产生连锁反应,影响数千个项目。这形成了典型的软件供应链攻击,分发过程中的一个薄弱环节会演变为系统性风险。
历史先例与攻击特征
该活动并非首次出现。2025年7月,攻击者使用pypj[.]org域名部署了类似策略。这种重复使用的域名混淆策略表明,攻击者正在持续利用开发者信任,并展示了他们如何快速轮换域名以逃避检测。
攻击者的域名选择策略依赖于基础设施欺骗。许多开发者习惯于软件包仓库为冗余和分发运行镜像站点。通过将其域名命名为pypi-mirror[.]org,攻击者利用这种熟悉感为钓鱼网站赋予虚假合法性。
此外,恶意域名使用专业的网页设计元素、SSL证书,并以惊人的准确性复制了PyPI界面。这种复杂程度表明该活动资金充足,并经过精心设计以最大化成功率。
PyPI的应对措施
PyPI维护者迅速响应,与注册商和内容分发网络协调移除恶意域名,并将其提交至浏览器阻止列表。他们还与其他开源平台合作,加速下架过程并减少暴露。
PSF强调,任何可能在此欺诈网站输入凭证的用户应立即更改其PyPI密码,并检查安全历史记录中是否有可疑活动。还鼓励用户将钓鱼尝试报告至security@pypi[.]org。
组织和开发者的最佳实践
为降低钓鱼和凭证盗窃风险,组织和开发者应遵循以下最佳实践:
- 使用抗钓鱼身份验证,如硬件安全密钥(例如YubiKeys)以阻止凭证盗窃
- 依赖仅在已验证域名上自动填充的密码管理器,防止在伪造网站上输入
- 应用特权访问管理(PAM)强制执行最小权限原则,限制横向移动并监控活动
- 在输入凭证前验证域名和链接,避免点击未经请求的电子邮件链接
- 向同行或社区渠道报告和分享钓鱼尝试,提高意识
通过将用户谨慎与强大的技术控制相结合,开发者社区可以更好地抵御针对开源生态系统的持续钓鱼活动。
针对PyPI维护者的持续钓鱼活动突显了软件供应链面临的持久且不断演变的威胁。这些攻击利用了开发者对官方外观通信的信任,同时依靠技术复杂性来欺骗即使警惕的用户。因此,防御策略必须整合用户意识和弹性身份验证措施。
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
公众号二维码
公众号二维码
