کاربران PyPI مراقب دام‌های فیشینگ باشند

مدیرانPyPI هشدار داده‌اند که یک کمپین فیشینگ در حال اجراست که کاربران را هدف قرار داده و سعی دارد آن‌ها را به نسخه‌ای جعلی از سایت PyPI هدایت کند.

به گزارش افتانا، در این حمله، ایمیل‌هایی با عنوان "[PyPI] Email verification" برای کاربران ارسال می‌شود. این ایمیل‌ها از آدرسی به ظاهر معتبر ارسال می‌شوند: noreply@pypj[.]org. این آدرس از دامنه‌ای استفاده می‌کند که بسیار شبیه به دامنه‌ اصلی PyPI یعنی pypi[.]org است، اما با جایگزینی یک حرف (i به j).

مایک فیدلر، یکی از مدیران PyPI، در بیانیه‌ای گفت: این حمله به این معنا نیست که امنیت خود PyPI به خطر افتاده، بلکه یک اقدام فیشینگ است که سعی دارد از اعتماد کاربران به PyPI سوءاستفاده کند.

در ایمیل، از کاربران خواسته می‌شود که برای تایید ایمیل خود، روی لینکی کلیک کنند. این لینک به سایتی هدایت می‌شود که از نظر ظاهری تقریباً کاملاً مشابه سایت اصلی PyPI است. هدف از این ترفند این است که نام کاربری و رمز عبور کاربران دزدیده شود.

اما نکته جالب و خطرناک ماجرا اینجاست که وقتی کاربر اطلاعات ورود خود را در سایت جعلی وارد می‌کند، بلافاصله آن اطلاعات به سایت واقعی PyPI فرستاده می‌شود. بنابراین، کاربر به درستی وارد حساب خود می‌شود و هیچ علامتی از خطا یا مشکل نمی‌بیند. همین موضوع باعث می‌شود قربانی اصلاً متوجه نشود که اطلاعاتش فاش شده است.
PyPI گفته که در حال بررسی روش‌هایی برای مقابله با این حمله است. در همین حال، از کاربران خواسته قبل از وارد شدن به حساب، حتماً آدرس سایت را با دقت بررسی کنند و اگر ایمیلی از این نوع دریافت کرده‌اند، از کلیک روی لینک آن خودداری کنند.

این نوع حملات فقط برای فریب فردی نیست؛ بلکه تلاش دارند به حساب‌هایی دسترسی پیدا کنند که ممکن است پکیج‌های مهمی را مدیریت یا منتشر کنند. فیدلر در ادامه هشدار داد: اگر روی لینک کلیک کرده‌اید و اطلاعات ورود خود را وارد کرده‌اید، فوراً رمز عبور PyPI خود را تغییر دهید. همچنین قسمتSecurity History حساب خود را بررسی کنید تا ببینید آیا فعالیت مشکوکی صورت گرفته یا نه.

هنوز مشخص نیست چه کسی پشت این حمله قرار دارد، اما این حمله شباهت زیادی به حمله‌ای دارد که اخیراً به مخزن npm انجام شد. در آن حمله نیز از یک دامنه جعلی به نام npnjs[.]com به‌جای npmjs[.]com استفاده شده بود تا کاربران را فریب دهد و اطلاعات ورودشان را بگیرد. در جریان آن حمله، هفت پکیج npm آلوده شدند و بدافزاری به نام Scavenger Stealer پخش شد که اطلاعات حساس ذخیره‌شده در مرورگرها را جمع‌آوری می‌کرد. در برخی موارد حتی یک کد جاوااسکریپت روی سیستم قربانی اجرا می‌شد تا اطلاعات سیستم و متغیرهای محیطی را گرفته و از طریق WebSocket به مهاجم ارسال کند.

این نوع حملات، مشابه مواردی است که در مخازن دیگری مثل GitHub و سایر پلتفرم‌ها دیده شده، جایی که اعتماد کاربران و اتوماسیون سیستم‌ها، به نقاط ضعف برای حملات مهندسی اجتماعی تبدیل می‌شوند. تایپواسکواتینگ (استفاده از دامنه‌های شبیه به اصل)، جعل هویت سایت و فیشینگ از طریق پراکسی، همگی بخشی از این دسته حملات هستند که روزبه‌روز گسترده‌تر می‌شوند.