PyPI Warns of New Phishing Attack Targeting Developers With Fake PyPI Site
2025/07/29 CyberSecurityNews — Python Package Index (PyPI) が、開発者に対して発している緊急の警告は、ドメイン・スプーフィング技術を悪用してユーザーの認証情報を窃取する、進行中のフィッシング攻撃に関するものだ。この攻撃は、PyPI にパッケージを公開する開発者を標的とした、巧妙なものである。PyPI エコシステムへの信頼を悪用する攻撃者は、正規プラットフォームを模倣する偽サイトを通じて、開発者たちの認証情報を収集している。
主なポイント
- noreply@pypj.org から送信される偽メールにより、偽の PyPI サイトへのリダイレクトが行われ、認証情報が窃取される。
- 公式の pypi.org は侵害されておらず、公開メール・アドレスを持つ開発者が、主な標的とされている。
- URL のドメイン確認/疑わしいメールの削除、そして、侵害が疑われる場合のパスワード変更が必要である。
PyPI フィッシング・キャンペーンの詳細
このキャンペーンは、ドメイン noreply@pypj.org から送信される偽メールを起点とした、多段階の攻撃ベクターにより展開されている。攻撃者は、正規の pypi.org ドメインの “i” を “j” に置き換えるタイポスクワッティング手法を用い、受信者を偽サイトへと誘導する。
この悪意あるメールの件名は “[PyPI] Email verification” であり、noreply@pypj[.]org から送信される。そして PyPI にプロジェクトを公開する、脅威アクターが主要な標的にするのは、パッケージのメタデータにメール・アドレスを取り込むユーザーである。
受信者がメール内の検証リンクをクリックすると、公式 PyPI のインターフェイスを模倣した高度なフィッシング・サイトへのリダイレクトが行われる。この偽サイトでは、ユーザーの認証情報を取得する一方で、正規の PyPI サーバへとリダイレクトする、パス・スルー認証メカニズムが使われている。
この手法により、ユーザーは本物の PyPI プラットフォームにログインしていると誤認し、その間に攻撃者は認証情報を収集する。この攻撃は、開発者と PyPI エコシステムの信頼関係を悪用する、高度なソーシャルエンジニアリングの典型例である。
PyPI 管理者が確認した内容は、インフラ自体の安全性は維持されており、今回の攻撃がシステムへの侵入ではなく、外部からのフィッシングであることだ。
すでに PyPI は、この進行中の攻撃に関して、警告バナーを PyPI ホームページに表示し、緊急対応としてのユーザーへの警告を行っている。
それに加えて PyPI は、CDN プロバイダーおよびドメイン名登録機関に対して、商標および不正使用に関する正式な通知を開始し、悪意のインフラを排除するための対策を推進している。
セキュリティ研究者は、開発者に対して、以下を推奨している。
- 認証情報入力前にブラウザのアドレスバーで URL を確認する
- メール内リンクをクリックしない
- 疑わしいメールは即時削除する
すでに被害を受けた可能性がある場合には、PyPI のパスワードを直ちに変更し、アカウントのセキュリティ履歴の、不審なアクティビティの有無を確認する必要がある。
PyPI ユーザーである開発者を狙う、巧妙なフィッシング攻撃がて展開されているようです。攻撃者は “pypi.org” に似せた “pypj.org” というドメインを使って、開発者に偽のメールを送り、認証情報を盗もうとすると、この記事は指摘しています。ご利用のチームは、十分に ご注意ください。よろしければ、PyPI で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.