Оффлайн
- Регистрация
- 9 Май 2015
- Сообщения
- 1,480
- Баллы
- 155
Команда Python Software Foundation вновь разработчиков, использующих Python Package Index (PyPI), о фишинговой кампании. Злоумышленники используют подмену доменов для сбора учетных данных.
Эта кампания продолжает атаки на разработчиков, проведенные . Пользователям вновь рассылают письма с просьбой подтвердить свой email-адрес в целях безопасности. В противном случае аккаунты якобы могут быть заблокированы из-за отсутствия действий.
Ларсон напоминает, что настройка устойчивой к фишингу многофакторной аутентификации (МФА) помогает мейнтейнерам PyPI снизить риски, связанные с подобными фишинговыми атаками. Также специалист советует никогда не переходить по ссылкам из писем и использовать менеджеры паролей, которые автоматически заполняют данные на основе доменных имен.
Тем, кто уже кликнул на вредоносные ссылки в таких письмах и ввел свои учетные данные на мошенническом сайте, рекомендуется немедленно сменить пароли, проверить историю безопасности аккаунта на предмет аномалий и сообщить о подозрительной активности.
Целью злоумышленников является кража учетных данных жертв, которые затем будут использованы в последующих атаках. Например, для компрометации пакетов, уже опубликованных в PyPI, и заражения их вредоносным ПО, а также для публикации новых вредоносных пакетов.
Стоит отметить, что недавно похожим фишинговым атакам мейнтейнеры пакетов в npm: их просили обновить информацию МФА во избежание блокировки аккаунта.
Эта вредоносная кампания оказалась весьма успешной и затронула сразу нескольких мейнтейнеров, включая Джоша Джунона (Josh Junon), также известного под ником Qix, который поддерживает 18 пакетов, насчитывающих более 2,5 млрд еженедельных загрузок.
В итоге компрометация аккаунта Джунона привела к публикации десятков вредоносных версий пакетов и была названа крупнейшей в истории npm атакой на цепочку поставок.