I gestori del repository Python Package Index (PyPI) hanno lanciato un avviso riguardo a un attacco di phishing in corso che mira a ingannare gli utenti, reindirizzandoli verso siti PyPI falsi. L’attacco si manifesta attraverso email con oggetto “[PyPI] Email verification”, inviate dall’indirizzo noreply@pypj[.]org, un dominio che imita “pypi[.]org”.
Mike Fiedler, amministratore di PyPI, ha chiarito che non si tratta di una violazione della sicurezza di PyPI, ma di un tentativo di phishing che sfrutta la fiducia degli utenti nel servizio. Le email invitano gli utenti a seguire un link per verificare il loro indirizzo email, conducendoli a un sito di phishing che imita PyPI per rubare le loro credenziali.
Una volta inserite le informazioni di accesso sul sito falso, la richiesta viene inoltrata al sito legittimo di PyPI, ingannando le vittime e facendole credere che tutto sia normale, mentre in realtà le loro credenziali sono state compromesse. Questo metodo è difficile da rilevare poiché non genera messaggi di errore o accessi falliti che potrebbero destare sospetti.
PyPI sta valutando diverse strategie per affrontare l’attacco. Nel frattempo, esorta gli utenti a controllare l’URL nel browser prima di accedere e a non cliccare sul link se hanno già ricevuto tali email. Se non si è certi della legittimità di un’email, un rapido controllo del nome di dominio, lettera per lettera, può essere utile. Strumenti come estensioni del browser che evidenziano gli URL verificati o gestori di password che riempiono automaticamente solo su domini conosciuti possono fornire un ulteriore livello di difesa.
Questi attacchi non mirano solo a ingannare gli individui, ma cercano di ottenere accesso ad account che potrebbero pubblicare o gestire pacchetti ampiamente utilizzati. “Se hai già cliccato sul link e fornito le tue credenziali, ti consigliamo di cambiare immediatamente la tua password su PyPI,” ha dichiarato Fiedler. “Controlla la cronologia della sicurezza del tuo account per eventuali attività sospette.”
Non è ancora chiaro chi ci sia dietro questa campagna, ma l’attività presenta somiglianze con un recente attacco di phishing su npm che ha utilizzato un dominio typosquatted “npnjs[.]com” per inviare email di verifica simili e catturare le credenziali degli utenti. L’attacco ha compromesso sette diversi pacchetti npm per distribuire un malware chiamato Scavenger Stealer, progettato per raccogliere dati sensibili dai browser web.
Attacchi simili sono stati osservati su npm, GitHub e altri ecosistemi dove la fiducia e l’automazione giocano un ruolo centrale. Typosquatting, impersonificazione e phishing tramite proxy inverso sono tutte tattiche in questa crescente categoria di ingegneria sociale che sfrutta il modo in cui gli sviluppatori interagiscono con gli strumenti su cui fanno affidamento quotidianamente.
Considerazioni finali
Dal nostro punto di vista, questi attacchi evidenziano l’importanza di una maggiore consapevolezza e attenzione da parte degli utenti quando interagiscono con email e siti web, specialmente in contesti di sviluppo software. Riteniamo che l’educazione continua e l’adozione di strumenti di sicurezza avanzati possano ridurre significativamente il rischio di cadere vittima di tali truffe. È fondamentale che le comunità di sviluppatori collaborino per condividere informazioni e strategie di difesa contro queste minacce in evoluzione.
Fonte: The Hackers News
