Source: https://thehackernews.com/2025/07/pypi-warns-of-ongoing-phishing-campaign.html
🛡 概要
Python Package Index(PyPI)の管理者は、フィッシング攻撃が進行中であることを警告しています。この攻撃は、ユーザーを偽のPyPIサイトに誘導することを目的としています。攻撃者は、件名に「[PyPI] メール確認」と記載されたメールを、noreply@pypj[.]orgという偽のアドレスから送信しています。このドメインは本物の「pypi[.]org」とは異なります。
PyPIの管理者であるマイク・フィードラー氏は、「これはPyPI自体のセキュリティ侵害ではなく、ユーザーの信頼を利用したフィッシング試行です」と述べています。メールはユーザーにリンクをクリックしてメールアドレスを確認するよう指示し、偽のフィッシングサイトへと誘導します。
🔍 技術詳細
このフィッシング攻撃は、ユーザーが偽サイトにログイン情報を入力すると、そのリクエストが正規のPyPIサイトにルーティングされるという巧妙な手法を使用しています。このため、被害者は何も問題がないと思い込むことになります。攻撃者は、ユーザーの認証情報を収集し、正当なPyPIサイトに見せかけることでユーザーを欺きます。
この手法は、エラーメッセージや失敗したログインが表示されないため、発見が難しくなっています。PyPIはこの攻撃に対処する方法を検討しており、ユーザーにはリンクをクリックする前にURLを確認するよう求めています。また、正当なメールかどうかわからない場合は、ドメイン名を一文字ずつ確認することを推奨しています。
⚠ 影響
このフィッシング攻撃は、個人のアカウントにとどまらず、広く利用されているパッケージの管理権限を奪うことを目的としています。攻撃者は、ユーザーの認証情報を取得することで、パッケージを公開したり、管理したりするアカウントへのアクセスを得ることが可能です。すでにリンクをクリックし認証情報を提供してしまった場合は、すぐにPyPIのパスワードを変更することが推奨されています。
また、過去にはnpmを狙った類似の攻撃も発生しており、悪意のあるコードが含まれたパッケージが配布される事態もありました。このような攻撃は、開発者が日常的に使用するツールとの相互作用を悪用する社会工学の手法の一部です。特に、信頼と自動化が重要なエコシステムにおいて、これらの攻撃はますます増加しています。
🛠 対策
ユーザーは、フィッシング攻撃から身を守るために、いくつかの対策を講じる必要があります。第一に、メール内のリンクをクリックする前に、必ずURLを確認することです。信頼できるURLを強調表示するブラウザ拡張機能や、知られているドメインでのみ自動入力を行うパスワードマネージャーを使用することで、二重の防御が可能です。
また、PyPIのアカウントのセキュリティ履歴を確認し、不審な活動がないかを監視することも重要です。攻撃者がどのようにしてユーザーを騙すかを理解することで、より効果的に防御を強化することができます。フィッシング攻撃は巧妙化しているため、注意が必要です。
