Pythonユーザーをだますフィッシング攻撃に注意、PyPIになりすます

攻撃者はユーザーをだまして偽のPyPIサイトにログインさせ、認証情報の窃取を試みるという。

• 

  PyPI Users Email Phishing Attack - The Python Package Index Blog

フィッシング攻撃の概要

Python Package Indexの報告によると、攻撃者は送信元メールアドレスに「noreply@pypj[.]org」(iではなくj)を使用し、メールアドレスの確認を求める偽のメールを送付したという。

送信先はパッケージメタデータに登録されているメールアドレスが悪用されたとみられ、PyPIからプロジェクトを公開しているユーザーはフィッシングメールを受け取った可能性がある。フィッシングメールに記載されたリンクをクリックするとPyPIになりすましたフィッシングサイトに誘導され、ログインすると認証情報を窃取される可能性がある。

対策

Python Package Indexは、ログインする前にアクセスしているURLを確認するように呼びかけている。iとjのわずかな違いだが、「pypj[.]org」は公式ドメインではないとしている。

すでに認証情報を入力した場合は、パスワードを公式サイトから直ちに変更する必要がある。このとき、アカウントのセキュリティ履歴を確認し、予期せぬ変更がないか調査することが推奨されている。

攻撃者の目的はプロジェクトの配布ファイルにマルウェアを混入し、サプライチェーン攻撃を試みることにあると推測される。認証情報を窃取された可能性がある場合は、すべての配布ファイルに侵害の兆候がないか調査することも強く推奨される。