Python Yazılım Vakfı, kimlik bilgilerini sıfırlamak için sahte bir Python Paket Dizini (PYPI) web sitesi kullanarak yeni bir kimlik avı saldırıları dalgası kurbanlarını uyardı.
Pypi.org adresinden erişilebilir olan PYPI, Python’un paket yönetim araçları için varsayılan kaynaktır, yüz binlerce paketi barındırır ve geliştiricilere üçüncü taraf yazılım kütüphanelerini dağıtmak için merkezi bir platform sağlar.
Python Software Foundation geliştiricisi Seth Larson, kimlik avı e-postalarının hedeflerden “hesap bakımı ve güvenlik prosedürleri” için “e-posta adreslerini doğrulamasını” istediğini söyledi.[.]Org.
Larson, “Bağlantıyı zaten tıkladıysanız ve kimlik bilgilerinizi sağladıysanız, şifrenizi hemen PYPI’da değiştirmenizi öneririz.” Dedi. “Hesabınızın güvenlik geçmişini beklenmedik bir şey için inceleyin. Pypi’ye karşı potansiyel kimlik avı kampanyaları gibi şüpheli etkinlikleri [email protected] adresine bildirin.”
Tehdit aktörleri, muhtemelen sonraki saldırılarda PYPI’da yayınladıkları Python paketlerini kötü amaçlı yazılımlarla tehlikeye atmak veya yeni kötü amaçlı paketler yayınlamak için kullanılacak kurbanların kimlik bilgilerini çalmayı amaçlıyor.
Bu saldırılar PYPJ’yi de kullanan bir kimlik avı kampanyasının bir parçasıdır[.]ORG Alanı Temmuz ayında potansiyel kurbanları sahte bir Pypi sitesine giriş yapmak için kandırmak için.
![Sahte pypj[.]org sitesi](https://www.bleepstatic.com/images/news/u/1109292/2025/Fake-pypj_org-website.png)
Larson, PYPI Paket Bakımcılarına e-postalardaki bağlantıları asla tıklamamalarını ve alan adlarına dayalı olarak otomatik olarak doldurulan şifre yöneticilerini kullanmalarını tavsiye etti.
Hesaplarının hack denemelerine karşı korunmasını sağlamak için, donanım anahtarları gibi kimlik avına dayanıklı iki faktörlü kimlik doğrulama (2FA) yöntemlerini kullanmalı ve harekete geçmeden önce şüpheli e-postaları paylaşmalıdır.
Kullanıcılar ayrıca, saldırganların diğer PYPI kullanıcılarını kandırmaya yönelik girişimlerini engellemek için alan adlarını kaldırması için alan adlarını kötü amaçlı olarak rapor ederek ve kayıt şirketleriyle iletişime geçerek bu kimlik avı kampanyalarını devredebilir.
Geçen hafta, Python Yazılım Vakfı ekibi, Eylül ayı başında Ghostaction tedarik zinciri saldırısında çalınan tüm PYPI jetonlarını geçersiz kıldı ve tehdit aktörlerinin kötü amaçlı yazılım yayınlamaları için istismar etmediğini doğruladı.
Mart 2024’te PYPI, tehdit aktörleri meşru olanlar olarak gizlenmiş yüzlerce kötü amaçlı paket yayınladıktan sonra kullanıcı kaydını ve yeni proje oluşturmayı geçici olarak askıya aldı.
Ortamların% 46’sı şifreleri çatladı, geçen yıl neredeyse% 25’ten iki katına çıktı.
Önleme, algılama ve veri açığa çıkma eğilimleri hakkında daha fazla bulgua kapsamlı bir bakış için Picus Blue Report 2025’i şimdi alın.