【安全圈】PyPI警惕新钓鱼攻击

摘要：Python 软件基金会（PSF）近日警告开发者，近期出现针对 Python 包索引（PyPI）的新型钓鱼攻击活动。攻击者通过伪造的邮件诱导用户访问假冒的登录页面，骗取账户凭据。这些邮件以“账户维护与安全程序”为由，要求收件人验证账户信息，否则将面临账号暂停的

PyPI

Python 软件基金会（PSF）近日警告开发者，近期出现针对 Python 包索引（PyPI）的新型钓鱼攻击活动。攻击者通过伪造的邮件诱导用户访问假冒的登录页面，骗取账户凭据。这些邮件以“账户维护与安全程序”为由，要求收件人验证账户信息，否则将面临账号暂停的威胁。邮件中附带的链接指向伪造网站 pypi-mirror.org，而非官方 PyPI 页面。

PSF 开发者 Seth Larson 表示，任何在该钓鱼网站输入过凭据的用户，应立即更改 PyPI 密码，并检查账户的安全历史记录是否存在异常活动。同时，他建议用户将可疑邮件或钓鱼行为直接报告至 security@pypi.org 。

此类攻击不仅危及个人账户安全，还可能影响整个开源生态。一旦攻击者获取登录信息，他们可能篡改已发布的可信包或上传带有恶意代码的新包，从而波及依赖这些包的开发者和企业。实际上，今年 7 月就发生过类似攻击，当时攻击者使用域名 pypj.org 诱导开发者泄露登录信息。新一轮攻击沿用相同模式，未来可能会出现更多类似的钓鱼域名。

为应对威胁，PyPI 维护团队已经采取多项措施，包括联系注册商和内容分发网络移除恶意域名，将其加入浏览器黑名单，并与其他开源平台协调，以缩短响应时间。同时，团队正在探索强化双因素认证的方式，降低钓鱼攻击的成功率。

信息安全专家、Keeper Security 首席信息安全官 Shane Barney 指出，钓鱼攻击不会消失，只会不断变化。攻击者会持续创建新域名诱骗用户，而安全防护的重点应放在限制单次点击造成的损害。Barney 建议使用硬件密钥（如 YubiKey）作为双因素认证工具，并结合密码管理器，确保凭据仅在经过验证的域名上自动填写，从而阻断攻击者常用路径。对于企业而言，特权访问管理同样关键，它可以执行最小权限策略、限制横向移动，并监控系统活动，即使恶意代码进入，也无法肆意传播。

总之，开发者应避免点击来源不明的邮件链接，仅在主动操作时访问官方域名，并考虑使用抗钓鱼的双因素认证硬件密钥。同时，分享可疑邮件和信息于社区也有助于保护整个 Python 开发生态系统。