La Python Software Foundation (PSF) ha alertado a los desarrolladores sobre una campaña de phishing que ataca a los usuarios de PyPI (Python Package Index), el repositorio oficial de paquetes de Python. La campaña utiliza correos falsos para robar credenciales.
¿Cómo funciona el ataque?
Los atacantes envían correos electrónicos que simulan ser notificaciones oficiales de PyPI. Los mensajes, que solicitan a los usuarios “verificar su dirección de correo” por motivos de “seguridad y mantenimiento de cuenta”, amenazan con suspender la cuenta si el usuario no actúa de inmediato.
- Redirección a un sitio falso: El correo contiene un enlace que redirige al usuario a un dominio que imita a PyPI, como pypi-mirror[.]orgo pypj[.]org.
- Objetivo principal: El objetivo es robar las credenciales de los desarrolladores. Una vez que la cuenta está comprometida, los atacantes pueden insertar malware en paquetes legítimos que ya están publicados o subir nuevos paquetes maliciosos.
Este tipo de ataque aprovecha la confianza que los usuarios tienen en dominios que se ven legítimos, incluso cuando la URL no coincide exactamente.
Recomendaciones
- No hagas clic en enlaces: Evita hacer clic en enlaces de correos electrónicos, especialmente si te piden “verificar tu cuenta” o si te amenazan con suspenderla. Siempre verifique el dominio del enlace con mucho cuidado.
- Usa un gestor de contraseñas: Los gestores de contraseñas no se autocompletan en dominios que no coinciden con los legítimos. Esto puede ser una alerta si te encuentras en una página de phishing.
- Habilita la autenticación de dos factores (2FA): Usa 2FA resistente al phishing, como una llave de seguridad física, para evitar que tus credenciales sean robadas.
- Reporta los correos sospechosos: Si recibes un correo sospechoso, repórtalo al equipo de seguridad de PyPI en security@pypi.org.
