Python 軟體包索引 (PyPI) 倉庫管理員警告稱,他們發現了網路釣魚攻擊,類似於近期針對 NPM 倉庫中軟體包維護人員的攻擊。攻擊者以 PyPI 的名義發送訊息,通知他們需要確認郵箱地址。
這些郵件發自“noreply@pypj.org”郵箱,其中包含一個指向電子郵件驗證表單的鏈接,該表單會跳轉至 pypj.org 網站(該域名與 pypi.org 官方網站的域名不同,字母“j”而不是“i”,這可能是收件人疏忽造成的)。 pypj.org 網站的內容與 pypi.org 網站完全相同。目前尚不清楚攻擊者是否成功控制了 PyPI 上的任何項目。在針對 NPM 的類似攻擊中,攻擊者同樣欺騙了幾個大型 JavaScript 專案的維護者,並發布了包含惡意程式碼的更新,用於七個 NPM 軟體包,這些軟體包每週的下載量總計超過 100 億次。
來源: opennet.ru
