PyPI là một kho lưu trữ các gói Python, có thể truy cập tại pypi.org, cung cấp một nền tảng tập trung cho các nhà phát triển phân phối và cài đặt các thư viện phần mềm của bên thứ ba. Kho lưu trữ này lưu trữ hàng trăm nghìn gói và là nguồn mặc định cho các công cụ quản lý gói của Python.

"PyPI chưa bị tấn công, nhưng người dùng đang bị nhắm mục tiêu bởi một cuộc tấn công lừa đảo để dụ họ đăng nhập vào một trang web PyPI giả mạo. Trong vài ngày qua, những người dùng đã đăng tải dự án trên PyPI bằng chính email của mình trong siêu dữ liệu gói có thể đã nhận được email có tiêu đề '[PyPI] xác minh email' từ địa chỉ email noreply@pypj.org", quản trị viên PyPI Mike Fiedler cảnh báo.

"Đây không phải là một lỗ hổng bảo mật của PyPI, mà là một nỗ lực lừa đảo lợi dụng lòng tin của người dùng vào PyPI. Email hướng dẫn người dùng nhấp vào một liên kết để xác minh địa chỉ email của họ và dẫn đến một trang web lừa đảo trông giống PyPI."

Sau khi mở trang web độc hại, người dùng mục tiêu sẽ được nhắc đăng nhập, với các yêu cầu được gửi lại đến PyPI để lừa người dùng tin rằng họ đã đăng nhập vào PyPI.

Tuy nhiên, những kẻ tấn công đang thu thập thông tin đăng nhập của họ, có khả năng sẽ được sử dụng trong các cuộc tấn công trong tương lai để lây nhiễm phần mềm độc hại vào các gói Python mà chúng đã tải lên PyPI hoặc tải các gói độc hại mới lên nền tảng.

Quản trị viên PyPI cũng đã thêm một biểu ngữ trên trang chủ của PyPI, trong đó cảnh báo người dùng về cuộc tấn công lừa đảo này và hiện đang nỗ lực tìm cách ngăn chặn chiến dịch đang diễn ra này.

"Chúng tôi cũng đang chờ các nhà cung cấp mạng phân phối nội dung (CDN) và nhà đăng ký tên miền phản hồi các vấn đề mà chúng tôi đã gửi cho họ liên quan đến trang web lừa đảo", Fiedler nói thêm.

Các nhà phát triển Python và người dùng PyPI đã nhận được các email lừa đảo này được khuyến cáo không nhấp vào các liên kết được nhúng và hãy xóa email ngay lập tức.

Những người đã nhập thông tin trên trang web lừa đảo pypj[.]org nên ngay lập tức thay đổi mật khẩu PyPI và kiểm tra Lịch sử Bảo mật của tài khoản để tìm các hoạt động đáng ngờ.

Vào tháng 2, Python Software Foundation đã giới thiệu 'Project Archival', một hệ thống mới được thiết kế để giúp các nhà xuất bản PyPI lưu trữ các dự án của họ, thông báo cho người dùng rằng không có bản cập nhật nào được mong đợi.

PyPI cũng buộc phải tạm thời ngừng đăng ký người dùng và việc tạo các dự án mới vào tháng 3 năm 2024 do một chiến dịch phần mềm độc hại liên quan đến các tác nhân đe dọa đã tải lên hàng trăm gói phần mềm độc hại mới ngụy trang thành các dự án hợp pháp.

Hà Linh