駭客不斷鎖定開發人員經常使用的套件庫NPM、PyPI發動攻擊,其中一種最常見的手法,是利用域名搶注手法上架有問題的套件,藉此於開發人員的電腦部署惡意軟體,但最近有一波是鎖定套件維護者的網釣攻擊,之前有針對NPM熱門套件開發者的攻擊行動,如今駭客將目標轉向PyPI套件的開發者,使得PyPI管理群特別提出警告。
7月28日PyPI基金會發布部落格提出警告,有人鎖定最近幾天發布專案的PyPI維護者而來,利用套件裡的中繼資料取得電子郵件信箱,假借電子郵件驗證的名義寄信,值得留意的是,該「驗證信」來自noreply@pypj.org。
一旦收信人依照指示點選信中連結來驗證電子郵件信箱,他們就會被帶往偽裝成PyPI的釣魚網站,並要求執行登錄,若是收信人照做,他們發出的請求就會傳給真正的PyPI網站,使得收信人以為自己成功登錄PyPI(並完成驗證),但實際上,這麼做會將帳密提供給釣魚網站。
針對這起事故發生的原因,PyPI強調他們並未遭駭,但目前管理群正在尋求能處理這起攻擊事故的方法,他們在PyPI網站首頁警告此事,呼籲用戶必須在登入之前檢查網址是否正確。
若是用戶收到上述的驗證信,應直接將信件刪除,切勿點選信中連結;假如使用者已經不幸依照指示提供帳密資料,就要儘速更換密碼,並檢查帳號是否出現異常活動。
而對於事故的後續處理,PyPI也向CDN提供者與網域名稱註冊通報釣魚網站。
資料來源:iThome