هشدار رسمی PyPI: حملات فیشینگ هدفمند علیه توسعه‌دهندگان پایتون در جریان است

پلتفرم PyPI از وقوع یک کمپین فیشینگ فعال خبر داده که توسعه‌دهندگان پایتون را با ایمیل‌های جعلی و صفحات ورود ساختگی هدف قرار داده است. هدف مهاجمان، سرقت نام کاربری و رمز عبور کاربران فعال در PyPI و تزریق بدافزار به پکیج‌های محبوب است. توصیه شده توسعه‌دهندگان احراز هویت دوعاملی را فعال و ایمیل‌های مشکوک را نادیده بگیرند.

در ۲۷ ژوئیه ۲۰۲۵، تیم امنیتی PyPI (مخزن رسمی پکیج‌های پایتون) هشداری منتشر کرد مبنی بر اینکه یک کمپین فیشینگ هدفمند، توسعه‌دهندگان پایتون را نشانه رفته است. مهاجمان با ارسال ایمیل‌هایی جعلی که به‌ظاهر از طرف تیم PyPI فرستاده شده‌اند، از کاربران می‌خواهند تا حساب کاربری خود را برای بررسی امنیتی تأیید یا بروزرسانی کنند. این ایمیل‌ها حاوی لینک‌هایی هستند که به صفحات جعلی ورود هدایت می‌شوند.

در این صفحات جعلی، رابط کاربری بسیار شبیه به PyPI طراحی شده است و کاربر بدون آگاهی، نام کاربری و رمز عبور خود را وارد می‌کند. این اطلاعات توسط مهاجمان جمع‌آوری شده و سپس برای تزریق پکیج‌های آلوده یا دستکاری پروژه‌های معتبر پایتونی مورد استفاده قرار می‌گیرند.

یکی از نگرانی‌های بزرگ این حمله، بهره‌برداری از توسعه‌دهندگان محبوب یا پکیج‌های پرکاربرد در اکوسیستم پایتون است. با سرقت حساب کاربری آن‌ها، مهاجمان می‌توانند نسخه‌های آلوده از پکیج‌ها را منتشر کرده و به‌صورت زنجیروار هزاران توسعه‌دهنده و کاربر نهایی را آلوده کنند.

PyPI در اطلاعیه رسمی خود از توسعه‌دهندگان خواسته که فوراً احراز هویت دوعاملی (2FA) را برای حساب‌های خود فعال کنند. همچنین توصیه شده که هیچ‌گاه بر روی لینک‌های دریافتی در ایمیل کلیک نکرده و آدرس دقیق دامنه را بررسی کنند. دامنه رسمی PyPI تنها شامل pypi.org است و هر آدرس دیگری جعلی محسوب می‌شود.

این هشدار در حالی صادر شده که طی سال‌های اخیر، حملات زنجیره تأمین (Supply Chain Attacks) به شدت افزایش یافته‌اند. از آن‌جا که PyPI یکی از بزرگ‌ترین منابع نرم‌افزارهای متن‌باز است، هدف بسیار جذابی برای مهاجمان به‌شمار می‌رود.

The Hacker News – PyPI Warns of Ongoing Phishing Campaign