针对PyPI维护者的钓鱼活动使用仿冒登录站点

Python软件基金会（PSF）已向开发者发出警告，提醒注意近期针对Python包索引（PyPI）用户的钓鱼攻击活动。该攻击利用欺诈性电子邮件和仿冒登录站点窃取凭证，对开源生态系统构成日益严重的威胁。

钓鱼手法

该活动始于伪装成PyPI合法通信的钓鱼邮件。这些邮件要求收件人"验证其账户详情"，以完成所谓的"维护和安全程序"。受害者被告知如不遵守将面临账户暂停，这种策略旨在制造紧迫感并降低用户警惕性。

恶意邮件链接至pypi-mirror[.]org，该域名被精心设计成模仿官方PyPI镜像。当用户尝试在此欺诈站点登录时，其凭证就会被攻击者收集。仿冒站点与PyPI合法登录页面几乎完全相同，采用HTTPS加密、官方徽标和精确样式以增强可信度。

这些攻击的危险性不仅限于个人账户被盗。被盗凭证使威胁行为者能够篡改或替换PyPI上发布的受信任包。鉴于全球组织和开发者对开源包的依赖，即使单个维护者账户受损也可能产生深远影响。

如果攻击者获得维护者凭证，他们可以篡改现有包或上传看似合法的恶意更新。由于PyPI包被集成到无数软件项目和自动化构建流水线中，这种破坏可能悄无声息地将恶意软件引入各行各业使用的应用程序和服务中。

这种风险并非理论上的——过去如npm攻击等事件已表明，单个受损包如何通过供应链级联传播，影响数千个项目。其结果就是典型的软件供应链攻击，分发过程中的一个薄弱环节会演变成系统性风险。

该活动并非首次出现。2025年7月，攻击者使用pypj[.]org域名部署了类似策略。域名混淆策略的重复使用表明，攻击者正在持续利用开发者信任，并展示了他们如何快速轮换域名以逃避检测。

攻击者的域名选择策略依赖于基础设施欺骗。许多开发者习惯于包存储库为冗余和分发运行镜像站点。通过将其域名命名为pypi-mirror[.]org，攻击者利用这种熟悉感为钓鱼站点赋予虚假合法性。

此外，恶意域名使用专业的网页设计元素、SSL证书，并以惊人的准确性复制了PyPI界面。这种复杂程度表明该活动资金充足，并经过精心设计以最大化成功率。

PyPI维护者迅速响应，与注册商和内容分发网络协调移除恶意域名，并将其提交至浏览器阻止列表。他们还与其他开源平台合作，加速清除工作并减少暴露。

PSF强调，任何可能已在欺诈站点输入凭证的用户应立即更改其PyPI密码，并查看其安全历史记录以寻找可疑活动。还鼓励用户将钓鱼尝试报告至security@pypi[.]org。

为降低钓鱼和凭证被盗风险，组织和开发者应遵循以下最佳实践：

通过将用户谨慎与强大的技术控制相结合，开发者社区可以更好地抵御针对开源生态系统的持续钓鱼活动。

针对PyPI维护者的持续钓鱼活动突显了软件供应链面临的持久且不断演变的威胁。这些攻击利用了开发者对官方外观通信的信任，同时依靠技术复杂性来欺骗即使警惕的用户。因此，防御策略必须整合用户意识和弹性认证措施。