El 30 de julio de 2025, la Python Software Foundation emitió una advertencia urgente sobre una campaña de phishing en curso que tiene como objetivo a los desarrolladores que utilizan el Python Package Index (PyPI). Esta ofensiva busca el robo de credenciales mediante un sitio web falso que simula ser la plataforma oficial de PyPI.
¿Qué es PyPI y por qué es un objetivo atractivo?
PyPI, accesible a través de pypi.org, es el principal repositorio de paquetes para Python, utilizado por miles de desarrolladores en todo el mundo para distribuir y gestionar bibliotecas de software de terceros. Debido a su amplio uso y al nivel de confianza que genera, PyPI se ha convertido en un objetivo prioritario para cibercriminales que buscan comprometer la cadena de suministro de software.
El ataque: correos falsos y un dominio engañoso
El ataque no compromete directamente la infraestructura de PyPI, pero sí explota la confianza de los usuarios. Durante los últimos días, desarrolladores que han publicado proyectos en PyPI y que tienen su correo electrónico visible en los metadatos del paquete, han recibido mensajes bajo el asunto “[PyPI] Email verification”, enviados desde la dirección noreply[@]pypj.org.
Este dominio, aunque visualmente similar al legítimo, no pertenece a PyPI. El correo solicita verificar la dirección de correo electrónico mediante un enlace que redirige a un sitio de phishing que imita la apariencia del portal oficial.
Una vez dentro del sitio falso, se solicita al usuario que inicie sesión, enviando las credenciales directamente a los atacantes. Esta información puede ser usada posteriormente para introducir malware en los paquetes existentes o cargar nuevos paquetes maliciosos al repositorio.
Medidas de respuesta y recomendaciones
La administración de PyPI ya ha colocado un aviso visible en su página principal, alertando a los usuarios sobre esta campaña de phishing. También han iniciado acciones legales y técnicas, contactando a proveedores de CDN y registradores de dominios para eliminar el sitio malicioso pypj[.]org.
Recomendaciones para los usuarios afectados:
Si recibió un correo de noreply[@]pypj.org, no haga clic en ningún enlace y elimine el mensaje de inmediato.
Si ingresó sus credenciales en el sitio falso, cambie su contraseña de PyPI inmediatamente y revise el historial de seguridad de su cuenta en busca de actividades sospechosas.
Habilite la autenticación multifactor (MFA) en su cuenta PyPI, si aún no lo ha hecho.
Antecedentes recientes de amenazas en PyPI
Este incidente no es aislado. En marzo de 2024, PyPI suspendió temporalmente la creación de nuevas cuentas y paquetes tras detectar una campaña masiva de malware. A raíz de estos eventos, en febrero de 2025 la Python Software Foundation implementó el sistema Project Archival, que permite a los autores indicar que sus proyectos no recibirán más actualizaciones, como una forma de prevenir abusos.
Conclusión
Este nuevo ataque subraya la creciente amenaza que representan los ataques a la cadena de suministro de software. Las organizaciones y desarrolladores que dependen de PyPI deben estar especialmente atentos ante cualquier actividad sospechosa y fortalecer sus prácticas de seguridad digital. La vigilancia y la respuesta oportuna son esenciales para proteger la integridad de los ecosistemas de desarrollo actuales.
