Крупнейший каталог Python-пакетов PyPI разместил предупреждение о фишинговой атаке, направленной на разработчиков, использующих этот сервис. Это первая известная фишинговая атака на пользователей PyPI. К сожалению, учётные записи некоторых пользователей уже были скомпрометированы.
«В фишинговом сообщении утверждается, что осуществляется обязательный процесс «валидации» и пользователям предлагается перейти по ссылке для подтверждения пакета, иначе пакет может быть удален из PyPI», — говорится в сообщении PyPI.
Фишинговое предложение выглядит очень правдоподобным, потому что многие популярные реестры пакетов (npm, RubyGems и PyPI) действительно добавили подобные требования безопасности. Фишинговая страница, которую оперативно удалили, была размещена на Google Sites и отправляла украденные учетные данные на другой домен.
Для некоторых официальных пакетов были выпущены новые версии, которые содержали вредоносное ПО — exotel 0.1.6, spam 2.0.2а и spam 4.0.2. Эти версии были удалены из PyPI, а учетные записи разработчиков временно заблокированы.
В результате, PyPI объявила, что раздает бесплатные аппаратные ключи безопасности тем, кто занимается сопровождением критически важных проектов — 1% проектов, загруженных за последние шесть месяцев. Есть около 3500 соответствующих требованиям проектов.