Os mantenedores do repositório Python Package Index (PyPI) emitiram um alerta sobre um ataque de phishing em andamento que está visando usuários numa tentativa de redirecioná-los para sites falsos do PyPI.
O ataque envolve o envio de mensagens de email com a linha de assunto "[PyPI] Verificação de email" que são enviadas a partir do endereço de email noreply@pypj[.]org (observe que o domínio não é "pypi[.]org").
"Isso não é uma violação de segurança do próprio PyPI, mas sim uma tentativa de phishing que explora a confiança que os usuários têm no PyPI", disse Mike Fiedler, Administrador do PyPI, em uma postagem na segunda-feira(28).
As mensagens de email instruem os usuários a seguir um link para verificar seu endereço de email, o qual leva a um site de phishing réplica que se passa pelo PyPI e é projetado para coletar suas credenciais.
Mas, em um giro inteligente, uma vez que a informação de login é inserida no site falso, a solicitação é encaminhada para o site legítimo do PyPI, enganando efetivamente as vítimas a pensar que nada está errado quando, na realidade, suas credenciais foram passadas para os atacantes.
Este método é mais difícil de detectar porque não há mensagens de erro ou falhas de login que desencadeiem suspeitas.
O PyPI disse que está analisando diferentes métodos para lidar com o ataque.
Enquanto isso, está instando os usuários a inspecionar o URL no navegador antes de fazer login e a se abster de clicar no link caso já tenham recebido tais e-mails.
Se você não tem certeza se um email é legítimo, uma rápida verificação do nome do domínio — letra por letra — pode ajudar.
Ferramentas como extensões de navegador que destacam URLs verificadas ou gerenciadores de senhas que preenchem automaticamente apenas em domínios conhecidos podem adicionar uma segunda camada de defesa.
Esse tipo de ataque não engana apenas indivíduos; ele visa obter acesso a contas que podem publicar ou gerenciar pacotes amplamente utilizados.
"Se você já clicou no link e forneceu suas credenciais, recomendamos que mude sua senha no PyPI imediatamente", disse Fiedler.
Inspeccione o Histórico de Segurança da sua conta em busca de algo inesperado.
Atualmente não está claro quem está por trás da campanha, mas a atividade tem semelhanças impressionantes com um recente ataque de phishing ao npm que empregou um domínio com erro de digitação, "npnjs[.]com" (em oposição a "npmjs[.]com"), para enviar emails similares de verificação para capturar as credenciais dos usuários.
O ataque acabou comprometendo sete pacotes diferentes do npm para entregar um malware chamado Scavenger Stealer para coletar dados sensíveis de navegadores web.
Em um caso, os ataques abriram caminho para um payload JavaScript que capturava informações do sistema e variáveis de ambiente, e exfiltrava os detalhes através de uma conexão WebSocket.
Ataques semelhantes foram observados em todo o npm, GitHub e outros ecossistemas onde a confiança e a automação desempenham um papel central.
Typosquatting, personificação e phishing de proxy reverso são todas táticas nesta crescente categoria de engenharia social que explora como os desenvolvedores interagem com as ferramentas nas quais confiam diariamente.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...