El Índice de Paquetes de Python, mejor conocido entre los desarrolladores como PyPI, emitió una advertencia sobre una campaña de phishing específicamente dirigida hacia los desarrolladores que utilizan su servicio.

La organización dirigida por la comunidad dijo que éste es el primer ataque de phishing conocido contra los usuarios de PyPI. Y ―lamentablemente― el ataque ha tenido algo de éxito, lo que ha puesto en peligro las cuentas de algunos usuarios.

PyPI es un registro de paquetes en línea donde los programadores de Python pueden descargar módulos de código para sus aplicaciones y pueden alojar bibliotecas de software en beneficio de la comunidad de Python.

Los ataques a la cadena de suministro de software han aumentado en los últimos años y los registros de paquetes ―como parte de esa cadena― se han convertido en objetivos frecuentes de los ataques en línea porque el secuestro de una cuenta de mantenedor de paquetes ―o la posibilidad de alterar un paquete alojado― puede hacer mucho más fácil la distribución de malware.

«El mensaje de phishing afirma que se está implementando un proceso de 'validación' obligatorio e invita a los usuarios a seguir un enlace para validar un paquete o de lo contrario arriesgarse a que el paquete sea eliminado de PyPI», dijo la organización a través de Twitter y agregó que nunca elimina proyectos válidos del registro, salvo por aquellos que violan los términos de servicio.

El argumento de phishing está diseñado de manera convincente porque muchos de los registros de paquetes populares como npm, RubyGems y PyPI ―de hecho― han estado agregando requisitos de seguridad como el uso de autenticación multifactor en los últimos meses y publicando detalles sobre los cambios. En ese contexto, es más probable que parezca plausible un proceso de validación adicional.

Fuente: The Register.