Alerta usuarios de Python: hackers lanzan una campaña masiva de phishing para hacerse con tus credenciales de PyPI
Los ciberdelincuentes han comenzado una campaña por correo electrónico que se hace pasar por la web oficial de PyPI para robar las credenciales de los usuarios.
Una campaña masiva de phishing está afectando al Índice de Paquetes de Python –o PyPI, por sus siglas en inglés–, un repositorio que centraliza el almacenamiento y la distribución de los paquetes de código abierto de Python.
Según explica en su blog oficial Mike Fiedler, administrador de PyPI e ingeniero de seguridad, no es una brecha de seguridad del sitio, sino una campaña para suplantar la identidad de la web oficial, mediante un supuesto correo electrónico de verificación de la cuenta.
"PyPI no ha sido hackeado, pero los usuarios están siendo el blanco de un ataque de phishing que intenta engañarlos para que ingresen en un sitio falso de PyPI", alerta Fiedler. "No es una violación de seguridad de PyPI en sí miso, sino más bien un intento de phishing que explota la confianza que los usuarios tienen en PyPI".
La técnica de los ciberdelincuentes ha sido bastante refinada y utiliza un correo electrónico con el asunto "[PyPI] Verificación de correo electrónico", con una dirección cuyo dominio es realmente parecido: mientras que el oficial es pypi.org, el de phishing agrega una j, con noreply@pypj.org.
Son 2 caracteres realmente parecidos, y si un usuario no revisa bien la dirección del remitente, podría llevar a una página que, de nuevo, imita casi a la perfección la oficial lo que llevará al robo de los datos de inicio de sesión.
Curiosamente, los cibercriminales han conseguido que dichas solicitudes en la página se devuelvan a PyPI, lo que perfecciona aún más una técnica impecable en la práctica, irreconocible por los usuarios que no revisen concienzudamente el enlace.
"Al usuario se le pide que inicie sesión, y las solicitudes se devuelven a PyPI, lo que puede llevar al usuario a creer que se ha conectado a PyPI, pero en realidad ha proporcionado sus credenciales al sitio de phishing", relata el administrador de PyPI.
El equipo de administración, como confirma en el blog Fiedler, está investigando diferentes métodos para manejar este sofisticado ataque, mientras que ya ha colocado un aviso en la página oficial para notificar a los usuarios sobre esta campaña masiva.
Según el ingeniero de seguridad, se ha avisado a los proveedores de CDN y nombres registrados, con el objetivo de avisar a las marcas, respecto a los abusos cometidos por este sitio malicioso.
Como recomendaciones, Fiedler explica que lo mejor al recibir este correo electrónico es no hacer clic en ningún enlace o proporcionar información personal; de la misma forma, lo más recomendable es eliminarlo definitivamente, además de inspeccionar siempre la URL en el navegador antes de iniciar sesión.
En caso de que algún usuario ya ha haya hecho clic en el enlace y haya proporcionado sus credenciales de inicio de sesión, se recomienda cambiar la contraseña lo antes posible, así como revisar el historial de protección de la cuenta por si existen cambios inesperados o no autorizados.
De momento, se desconoce quién está detrás de esta campaña masiva de phishing contra los usuarios de PyPI, además de las cifras de credenciales de inicio de sesión afectadas.