แฮกเกอร์โจมตีนักพัฒนา Python ด้วยการฟิชชิ่งผ่านเว็บ PyPI ปลอม

Python Software Foundation เตือนนักพัฒนาถึงการโจมตีแบบฟิชชิ่งที่ใช้เว็บไซต์ PyPI ปลอมเพื่อขโมยข้อมูลการเข้าสู่ระบบ โดยส่งอีเมลหลอกลวงไปยังผู้ที่เผยแพร่แพ็กเกจบน PyPI

Python Software Foundation ได้ออกคำเตือนเกี่ยวกับภัยคุกคามที่พยายามขโมยข้อมูลประจำตัวของผู้ใช้งานผ่านการโจมตีแบบฟิชชิ่งโดยใช้เว็บไซต์ Python Package Index (PyPI) ปลอม ซึ่ง PyPI เป็นคลังเก็บแพ็กเกจสำหรับ Python ที่เข้าถึงได้ผ่าน pypi.org ซึ่งเป็นแพลตฟอร์มกลางสำหรับนักพัฒนาในการแจกจ่ายและติดตั้งไลบรารีซอฟต์แวร์จาก 3rd-party โดยเป็นแหล่งเริ่มต้นสำหรับเครื่องมือจัดการแพ็กเกจของ Python ที่มีแพ็กเกจนับแสนรายการ

ผู้ดูแลระบบ PyPI ชี้แจงว่า PyPI ไม่ได้ถูกแฮก แต่ผู้ใช้งานกำลังตกเป็นเป้าหมายของการโจมตีฟิชชิ่งที่พยายามหลอกให้เข้าสู่ระบบในเว็บไซต์ PyPI ปลอม ในช่วงไม่กี่วันที่ผ่านมา ผู้ใช้งานที่เผยแพร่โปรเจ็กต์บน PyPI และมีอีเมลอยู่ใน metadata ของแพ็กเกจอาจได้รับอีเมลหัวข้อ “[PyPI] Email verification” จากอีเมล noreply@pypj.org ซึ่งไม่ใช่การละเมิดความปลอดภัยของ PyPI แต่เป็นความพยายามฟิชชิ่งที่ใช้ประโยชน์จากความไว้วางใจที่ผู้ใช้งานมีต่อ PyPI อีเมลดังกล่าวจะแนะนำให้ผู้ใช้งานคลิกลิงก์เพื่อยืนยันอีเมล ซึ่งจะนำไปสู่เว็บไซต์ฟิชชิ่งที่ดูเหมือน PyPI แต่ไม่ใช่เว็บไซต์ทางการ

เมื่อเปิดเว็บไซต์ที่เป็นอันตราย ผู้ใช้งานที่ตกเป็นเป้าหมายจะถูกขอให้ลงชื่อเข้าใช้ โดยคำขอจะถูกส่งกลับไปยัง PyPI เพื่อหลอกให้ผู้ใช้งานเชื่อว่าได้เข้าสู่ระบบ PyPI แล้ว แต่แท้จริงแล้วผู้โจมตีกำลังเก็บเกี่ยวข้อมูลประจำตัวของพวกเขา ซึ่งน่าจะถูกนำไปใช้ในการโจมตีในอนาคตเพื่อติดมัลแวร์ในแพ็กเกจ Python ที่อัปโหลดไปยัง PyPI หรืออัปโหลดแพ็กเกจที่เป็นอันตรายใหม่ลงบนแพลตฟอร์ม ผู้ดูแลระบบ PyPI ได้เพิ่มแบนเนอร์บนหน้าแรกของ PyPI เพื่อเตือนผู้ใช้งานเกี่ยวกับการโจมตีฟิชชิ่งนี้ และกำลังทำงานเพื่อหาวิธีขัดขวางแคมเปญที่กำลังดำเนินอยู่ พร้อมกับรอให้ผู้ให้บริการ CDN และผู้จดทะเบียนชื่อโดเมนตอบกลับการแจ้งเรื่องการละเมิดเครื่องหมายการค้าและการใช้งานในทางที่ผิดเกี่ยวกับเว็บไซต์ฟิชชิ่ง

นักพัฒนา Python และผู้ใช้งาน PyPI ที่ได้รับอีเมลฟิชชิ่งเหล่านี้ควรหลีกเลี่ยงการคลิกลิงก์ที่ฝังอยู่และลบอีเมลทันที สำหรับผู้ที่ป้อนข้อมูลประจำตัวบนเว็บไซต์ฟิชชิ่ง pypj.org ไปแล้ว ควรเปลี่ยนรหัสผ่าน PyPI ทันทีและตรวจสอบ Security History ของบัญชีเพื่อหากิจกรรมที่น่าสงสัยหรือไม่คาดคิด เมื่อเดือนกุมภาพันธ์ Python Software Foundation ได้เปิดตัวระบบ ‘Project Archival’ ใหม่ที่ออกแบบมาเพื่อช่วยให้ผู้เผยแพร่บน PyPI สามารถทำ Archive project ได้ เพื่อแสดงให้ผู้ใช้งานทราบว่าไม่มีการอัปเดตอีกต่อไป นอกจากนี้ PyPI ยังต้องระงับการลงทะเบียนผู้ใช้ใหม่และการสร้างโปรเจ็กต์ใหม่ชั่วคราวในเดือนมีนาคม 2024 เนื่องจากแคมเปญมัลแวร์ที่เชื่อมโยงกับผู้โจมตีที่อัปโหลดแพ็กเกจที่เป็นอันตรายใหม่หลายร้อยรายการโดยปลอมตัวเป็นโปรเจ็กต์ที่ถูกต้อง

ที่มา: https://www.bleepingcomputer.com/news/security/hackers-target-python-devs-in-phishing-attacks-using-fake-pypi-site/