Els responsables del repositori Python Package Index (PyPI) han emès una advertència sobre un atac de pesca en curs que s’adreça als usuaris en un intent de redirigir-los a llocs PyPI falsos.

L’atac consisteix a enviar missatges de correu electrònic amb l’assumpte «[PyPI] Verificació de correu electrònic» que s’envien des de l’adreça de correu electrònic noreply@pypj[.]org (tingueu en compte que el domini no és “pypi[.]org”).

«No es tracta d’una violació de seguretat de PyPI en si, sinó d’un intent de pesca que explota la confiança que tenen els usuaris en PyPI»,  va dir Mike Fiedler, administrador de PyPI, en una publicació dilluns.

Els missatges de correu electrònic indiquen als usuaris que segueixin un enllaç per verificar la seva adreça de correu electrònic, que condueix a una rèplica del lloc de pesca que suplanta PyPI i està dissenyat per recollir les seves credencials.

Però amb un gir intel·ligent, una vegada que s’introdueix la informació d’inici de sessió al lloc fals, la sol·licitud s’envia al lloc legítim de PyPI, enganyant les víctimes fent-les pensar que no passa res quan, en realitat, les seves credencials s’han passat als atacants. Aquest mètode és més difícil de detectar perquè no hi ha missatges d’error o inicis de sessió fallits per provocar una sospita.

PyPI va dir que està buscant diferents mètodes per gestionar l’atac. Mentrestant, demana als usuaris que inspeccionin l’URL al navegador abans d’iniciar la sessió i que s’abstinguin de fer clic a l’enllaç si ja han rebut aquest tipus de correus electrònics.

Si no esteu segur de si un correu electrònic és legítim, una comprovació ràpida del nom de domini, lletra per lletra, us pot ajudar. Eines com les extensions del navegador que destaquen els URL verificats o els gestors de contrasenyes que només s’emplenen automàticament en dominis coneguts poden afegir una segona capa de defensa. Aquest tipus d’atacs no només enganyen els individus, tenen l’objectiu d’accedir a comptes que poden publicar o gestionar paquets molt utilitzats.

«Si ja heu fet clic a l’enllaç i heu proporcionat les vostres credencials, us recomanem que canvieu la contrasenya a PyPI immediatament», va dir Fiedler. «Inspeccioneu l’historial de seguretat del vostre compte per detectar qualsevol cosa inesperada.»

Actualment, no és clar qui hi ha al darrere de la campanya, però l’activitat té semblances sorprenents amb un atac recent de pesca npm que feia servir un domini amb la tipologia canviada ‘npnjs[.]com’ (a diferència de ‘npmjs[.]com’) per enviar correus electrònics de verificació de correu electrònic idèntics per capturar les credencials dels usuaris.

L’atac va acabar comprometent set paquets npm diferents per oferir un programari maliciós anomenat Scavenger Stealer per recopilar dades delicades dels navegadors web. En un cas, els atacs van obrir el camí per a una càrrega útil de JavaScript que capturava informació del sistema i variables d’entorn, i va filtrar els detalls a través d’una connexió WebSocket.

S’han vist atacs similars a npm, GitHub i altres ecosistemes on la confiança i l’automatització tenen un paper central. La tipologia canviada, la suplantació d’identitat i la pesca de proxy invers són tàctiques d’aquesta categoria creixent d’enginyeria social que explota el fet de com els desenvolupadors interactuen amb les eines de les quals confien diàriament.