Pythonユーザーをだますフィッシング攻撃に注意、PyPIになりすます

Python Package Index(PyPI)は7月28日(現地時間)、「PyPI Users Email Phishing Attack - The Python Package Index Blog」において、進行中のフィッシング攻撃に注意を喚起した。

攻撃者はユーザーをだまして偽のPyPIサイトにログインさせ、認証情報の窃取を試みるという。

PyPI Users Email Phishing Attack - The Python Package Index Blog

フィッシング攻撃の概要

Python Package Indexの報告によると、攻撃者は送信元メールアドレスに「noreply@pypj[.]org」(iではなくj)を使用し、メールアドレスの確認を求める偽のメールを送付したという。

送信先はパッケージメタデータに登録されているメールアドレスが悪用されたとみられ、PyPIからプロジェクトを公開しているユーザーはフィッシングメールを受け取った可能性がある。フィッシングメールに記載されたリンクをクリックするとPyPIになりすましたフィッシングサイトに誘導され、ログインすると認証情報を窃取される可能性がある。

対策

Python Package Indexは、ログインする前にアクセスしているURLを確認するように呼びかけている。iとjのわずかな違いだが、「pypj[.]org」は公式ドメインではないとしている。

すでに認証情報を入力した場合は、パスワードを公式サイトから直ちに変更する必要がある。このとき、アカウントのセキュリティ履歴を確認し、予期せぬ変更がないか調査することが推奨されている。

攻撃者の目的はプロジェクトの配布ファイルにマルウェアを混入し、サプライチェーン攻撃を試みることにあると推測される。認証情報を窃取された可能性がある場合は、すべての配布ファイルに侵害の兆候がないか調査することも強く推奨される。

Pythonユーザーをだますフィッシング攻撃に注意、PyPIになりすます

フィッシング攻撃の概要

対策

AIが勧める、あなたのための会員限定記事

航空機の技術とメカニズムの裏側第535回 Mi-24そっくりの“偽ハインド”はこう作られた　旧式ヘリH-19の意外な再利用

日立、フィジカルAI支える独自の半導体開発　省電力で現場実装も視野に

NTT、AIインフラ「AIOWN」発表　GPU・電力・ネットワークを統合最適化

最初期のタコは全長が最大19mの頂点捕食者だった!? - 北大などが解明

「AIはあなたのブランドを何と語っているか」 AI時代のブランド可視性が経営課題に - Adobe Summit

MetaがAIデータセンターに宇宙太陽光発電を導入 - Overview Energyと締結

編集部が選ぶ関連記事

クレジットカード情報を盗むPythonパッケージに注意

ハッキングするより、正規に「ログイン」するほうが簡単に攻撃できる理由

TP-Link製ルータに重大な脆弱性、使用中止を

iPhoneやMacなど複数のApple製品のアップデート、合計95件の脆弱性修正

関連リンク

SCS評価制度に備える! EDIとセキュリティの統合で進めるサプライチェーンセキュリティ対策第4回第4回クラウドによるEDIのセキュリティ強化ポイント — 6つのチェックポイント（①〜⑥）で整理する

SCS評価制度に備える! EDIとセキュリティの統合で進めるサプライチェーンセキュリティ対策第3回第3回なぜ★4でEDIが注目されやすくなるのか ―取引データと取引継続を守る“セキュリティ上の要”としてのEDI

SCS評価制度に備える! EDIとセキュリティの統合で進めるサプライチェーンセキュリティ対策第2回第2回 SCS評価制度★3をEDI視点で整理する

SCS評価制度に備える! EDIとセキュリティの統合で進めるサプライチェーンセキュリティ対策第1回第1回 SCS評価制度とは? — なぜEDIは無関係ではないのか

Google Cloud×Wizのエージェント型防御 - マシンスピードで「AI」を守る

分業化が進む脅威に対し、どう対策をすべきか - セキュリティ専門家が語る

このカテゴリーについて

Pythonユーザーをだますフィッシング攻撃に注意、PyPIになりすます

AIが勧める、あなたのための会員限定記事

航空機の技術とメカニズムの裏側 第535回 Mi-24そっくりの“偽ハインド”はこう作られた 旧式ヘリH-19の意外な再利用

日立、フィジカルAI支える独自の半導体開発 省電力で現場実装も視野に

NTT、AIインフラ「AIOWN」発表 GPU・電力・ネットワークを統合最適化

最初期のタコは全長が最大19mの頂点捕食者だった!? - 北大などが解明

「AIはあなたのブランドを何と語っているか」 AI時代のブランド可視性が経営課題に - Adobe Summit

MetaがAIデータセンターに宇宙太陽光発電を導入 - Overview Energyと締結

編集部が選ぶ関連記事

クレジットカード情報を盗むPythonパッケージに注意

ハッキングするより、正規に「ログイン」するほうが簡単に攻撃できる理由

TP-Link製ルータに重大な脆弱性、使用中止を

iPhoneやMacなど複数のApple製品のアップデート、合計95件の脆弱性修正

関連リンク

SCS評価制度に備える! EDIとセキュリティの統合で進めるサプライチェーンセキュリティ対策 第4回 第4回 クラウドによるEDIのセキュリティ強化ポイント — 6つのチェックポイント（①〜⑥）で整理する

SCS評価制度に備える! EDIとセキュリティの統合で進めるサプライチェーンセキュリティ対策 第3回 第3回 なぜ★4でEDIが注目されやすくなるのか ―取引データと取引継続を守る“セキュリティ上の要”としてのEDI

SCS評価制度に備える! EDIとセキュリティの統合で進めるサプライチェーンセキュリティ対策 第2回 第2回 SCS評価制度★3をEDI視点で整理する

SCS評価制度に備える! EDIとセキュリティの統合で進めるサプライチェーンセキュリティ対策 第1回 第1回 SCS評価制度とは? — なぜEDIは無関係ではないのか

Google Cloud×Wizのエージェント型防御 - マシンスピードで「AI」を守る

分業化が進む脅威に対し、どう対策をすべきか - セキュリティ専門家が語る

このカテゴリーについて

航空機の技術とメカニズムの裏側第535回 Mi-24そっくりの“偽ハインド”はこう作られた　旧式ヘリH-19の意外な再利用

日立、フィジカルAI支える独自の半導体開発　省電力で現場実装も視野に

NTT、AIインフラ「AIOWN」発表　GPU・電力・ネットワークを統合最適化

SCS評価制度に備える! EDIとセキュリティの統合で進めるサプライチェーンセキュリティ対策第4回第4回クラウドによるEDIのセキュリティ強化ポイント — 6つのチェックポイント（①〜⑥）で整理する

SCS評価制度に備える! EDIとセキュリティの統合で進めるサプライチェーンセキュリティ対策第3回第3回なぜ★4でEDIが注目されやすくなるのか ―取引データと取引継続を守る“セキュリティ上の要”としてのEDI

SCS評価制度に備える! EDIとセキュリティの統合で進めるサプライチェーンセキュリティ対策第2回第2回 SCS評価制度★3をEDI視点で整理する

SCS評価制度に備える! EDIとセキュリティの統合で進めるサプライチェーンセキュリティ対策第1回第1回 SCS評価制度とは? — なぜEDIは無関係ではないのか