The Hacker Newsは8月25日(米国時間)、「PyPI Repository Warns Python Project Maintainers About Ongoing Phishing Attacks」において、PyPI (Python Package Index)を標的とした継続的なフィッシング攻撃が行われていると伝えた。PyPIプロジェクトがPython開発者の認証情報を盗み、正当なパッケージにマルウェアを注入することを目的とした進行中のフィッシングキャンペーンがあると警告しているという。

このフィッシングキャンペーンでは、セキュリティをテーマにしたメッセージが開発者に送りつけられる。内容は、Googleがすべてのパッケージに対して強制的な検証プロセスを実施しており、9月までにリンクをクリックして検証を完了しなければ、PyPIモジュールが削除されるリスクがあるという偽の通知となっている。

このフィッシング詐欺に引っかかった場合、開発者はPyPIのログインページに模倣されたGoogle Sitesにホストされているランディングページに誘導され、入力された認証情報が窃取される。サイバー犯罪者は窃取した認証情報をもとに不正にアクセスし、マルウェアを含むパッケージに更新されることがわかった。

PyPIプロジェクトは新たな不正パッケージを積極的に監視し、確実に削除していると述べている。危険にさらされたと思われる開発者は、直ちにパスワードをリセットするとともに二要素認証(2FA: Two-Factor Authentication)リカバリーコードをリセットし、PyPIアカウントのログに異常がないかを確認する必要があるとされている。

今回のようなフィッシングキャンペーンは、オープンソースのエコシステムが脅威の危険にさらされていることを示す一つの兆候と指摘されている。The Hacker Newsは、脅威アクターがいくつかのアプリケーションに織り込まれているライブラリやプロジェクトを利用し、連鎖的に影響を与えるサプライチェーン攻撃を仕掛けていると警告している。