Python Paket Endeksi (PYPI), geliştiricilere, kullanıcı kimlik bilgilerini çalmak için etki alanı sahte tekniklerini kullanan devam eden bir kimlik avı kampanyası hakkında acil bir uyarı yayınladı.
Bu sofistike saldırı, resmi depoda paketler yayınlayan geliştiricileri hedefliyor ve meşru platformu taklit eden özenle hazırlanmış sahte bir web sitesi aracılığıyla giriş kimlik bilgilerini hasat etmek için PYPI ekosistemine olan güvenlerini artırıyor.
Key Takeaways
1. Fake emails from pypj.org redirect to a counterfeit PyPI site, stealing credentials.
2. Official PyPI uncompromised, but developers with public emails are being targeted.
3. Verify pypi.org domain, delete suspicious emails, and change password if compromised.
PYPI Kimlik Yardım Kampanyasına Genel Bakış
Kimlik Yardım Kampanyası, alan adından gönderilen hileli e-postalarla başlayan çok aşamalı bir saldırı vektörü aracılığıyla çalışır [email protected]Meşru pypi.org alanındaki ‘I’ i küçük harf ‘J’ ile değiştirerek yazım hatası kullanan yazım hatası kullanır.
Kötü niyetli e -postalar konu satırını taşır “[PyPI] E -posta doğrulaması ”ve noreply@pypj[.]org Özellikle paket meta verilerinde yer alan e -posta adresleriyle PYPI hakkında projeler yayınlayan kullanıcıları hedefler.
Alıcılar doğrulama bağlantısını tıkladıklarında, resmi PYPI arayüzünü yakından kopyalayan gelişmiş bir kimlik avı sitesine yönlendirilirler.
Sahte site, kullanıcı kimlik bilgilerinin yakalandığı ve aynı anda meşru PYPI sunucularına iletildiği bir geçiş kimlik doğrulama mekanizması kullanır.
Bu teknik, kullanıcıların gerçek PYPI platformuna başarıyla giriş yaptıkları yanılsamasını yaratırken, saldırganlar kimlik bilgilerini toplar.
Saldırı, geliştiriciler ve PYPI ekosistemi arasındaki yerleşik güven ilişkisinden yararlanarak ileri sosyal mühendislik ilkelerini göstermektedir.
PYPI yöneticileri, altyapılarının güvenli kaldığını ve bunun sistemlerinin doğrudan güvenlik ihlali yerine harici bir kimlik avı girişimini temsil ettiğini doğruladı.
Organizasyon, kullanıcıları devam eden saldırı konusunda uyarmak için PYPI ana sayfasında önemli bir uyarı afişi görüntüleme de dahil olmak üzere acil önlemler uyguladı.
Ayrıca, PYPI, kötü niyetli altyapının yayından kaldırılmasını kolaylaştırmak için İçerik Teslimat Ağı (CDN) sağlayıcılarına ve alan adı kayıt şirketlerine resmi ticari marka ve kötüye kullanım bildirimleri başlatmıştır.
Güvenlik uzmanları, geliştiricilerin kimlik bilgileri girmeden önce tarayıcı adres çubuğundaki URL’leri derhal incelemelerini ve gömülü bağlantıları tıklamadan şüpheli e -postaları silmelerini önerir.
Saldırıya zaten kurban edilmiş olabilecek kullanıcılar, PYPI şifrelerini derhal değiştirmeli ve yetkisiz faaliyetler için hesaplarının güvenlik geçmişini gözden geçirmelidir.
Gerçek zamanlı sanal alan analizi ile daha hızlı, daha doğru kimlik avı tespiti ve işletmeniz için gelişmiş koruma deneyimi-> Herhangi birini deneyin. Şimdi