PyPI Phishing Attack: Incident Report
10 months ago
- #Phishing
- #PyPI
- #Cybersecurity
- 钓鱼攻击通过电子邮件针对PyPI用户,使用模仿PyPI.org的钓鱼域名
- 4个用户账户遭入侵,攻击者生成2个API令牌,并向'num2words'项目上传2个恶意版本
- 攻击者通过转发代理设置模仿PyPI.org,利用细微URL差异(如'pypj.org'与'pypi.org')
- 双因素认证(2FA)可缓解此类攻击,但攻击者可能通过截获会话cookie或TOTP码绕过
- 钓鱼域名最终在向注册商和CDN提供商举报后被关闭,尽管初期响应缓慢
- 影响包括通过受感染的PyPI包分发恶意软件,项目所有者已快速移除
- 建议包括启用2FA、使用WebAuthn增强安全性,以及清理闲置PyPI账户
- Python软件基金会(PSF)正考虑收购相似域名以预防未来钓鱼攻击
- 入侵指标(IoCs)包含钓鱼域名、IP地址及恶意软件包版本号