- Фонд Python Software Foundation (PSF) предупредил о новой волне фишинговых атак на пользователей PyPI.
- Злоумышленники используют поддельный сайт pypi-mirror[.]org для кражи учётных данных.
- PSF рекомендует немедленно сбросить пароли, использовать двухфакторную аутентификацию и сообщать о подозрительной активности.
Фонд Python Software Foundation (PSF) обратился к сообществу пользователей Python Package Index (PyPI) с призывом срочно изменить пароли и принять меры безопасности в связи с новой серией фишинговых атак. Вредоносная кампания направлена на разработчиков и пользователей PyPI — крупного каталога программных пакетов языка Python, который служит платформой для распространения сторонних библиотек и инструментов.
По информации, предоставленной разработчиком PSF Сетом Ларсоном, злоумышленники рассылают электронные письма с просьбой «подтвердить адрес электронной почты» якобы в рамках технического обслуживания и обеспечения безопасности учётной записи. В письмах содержится угроза блокировки аккаунта и ссылка на фишинговый ресурс pypi-mirror[.]org, маскирующийся под официальный сайт PyPI. Цель мошенников — похитив учетные данные пользователей и получить доступ к их аккаунтам.
Ларсон настоятельно рекомендует тем, кто ввёл свои данные на поддельном сайте, немедленно сменить пароль и внимательно проверить историю активности своих учётных записей на предмет необычной или нежелательной деятельности. Также пользователям советуют сообщать о любых подозрительных письмах и действиях по адресу security@pypi.org.
Эксперт отмечает, что похищенные учётные данные могут быть использованы злоумышленниками для компрометации опубликованных пакетов или размещения новых вредоносных библиотек под видом легитимного кода. Использование домена pypj[.]org в мошеннических целях является частью продуманной фишинговой стратегии, направленной на введение пользователей в заблуждение.
В качестве мер предосторожности PSF рекомендует не переходить по ссылкам из непроверенных писем, применять двухфакторную аутентификацию (2FA) и использовать менеджеры паролей, которые автоматически подставляют данные только на проверенных доменах. Кроме того, важным элементом защиты является информирование сообщества о подобных атаках для повышения общей кибербезопасности.
Ранее в этом году, в сентябре 2025-го, PSF аннулировал все украденные токены после инцидента с атакой на цепочку поставок GhostAction, хотя вредоносное ПО тогда опубликовано не было. В августе PyPI представил новые инструменты защиты от атак с использованием сброса пароля, а в марте 2024 года временно приостановил регистрацию новых пользователей и проектов, чтобы пресечь распространение вредоносных пакетов.
В свете текущих угроз PSF и сообщество разработчиков усиленно работают над повышением безопасности платформы, однако пользователи должны оставаться бдительными и следовать рекомендациям для защиты своих учётных данных и проектов.
