أصدر القائمون على إدارة مستودع بايثون باكج إندكس (PyPI) تحذيرًا بشأن هجوم تصيد يستهدف مستخدمي المستودع، حيث يسعى المهاجمون إلى توجيه المستخدمين نحو مواقع زائفة تشبه PyPI. ويعتمد الهجوم على إرسال رسائل بريد إلكتروني تحت عنوان “[PyPI] التحقق من البريد الإلكتروني” من العنوان noreply@pypj[.]org، مع ملاحظة أن النطاق المستخدم ليس “pypi[.]org”.

تحليل تفصيلي وسياق

هذا الهجوم لا يمثل اختراقًا لأمن PyPI بحد ذاته، إنما هو محاولة تصيد تعتمد على الثقة التي يوليها المستخدمون للمستودع. وقد أوضح مايك فايدلر، المسؤول في PyPI، في منشور له أن الرسائل الإلكترونية تحتوي على رابط يطلب من المستخدمين التحقق من بريدهم الإلكتروني، مما يقودهم إلى موقع تصيد متطابق مع الموقع الأصلي مصمم لسرقة بيانات اعتمادهم.

تكمن الحيلة في أن البيانات المدخلة تُمرر إلى الموقع الحقيقي لـ PyPI بعد إدخال معلومات تسجيل الدخول في الموقع الزائف، مما يُشعر الضحايا بأن كل شيء طبيعي، بينما في الواقع يتم تسريب بياناتهم إلى المهاجمين. هذه الطريقة تجعل اكتشاف الهجوم أكثر صعوبة بسبب غياب رسائل الخطأ أو عمليات تسجيل الدخول الفاشلة التي قد تثير الشكوك.

التأثير والتهديدات الأمنية

يعمل PyPI حاليًا على دراسة طرق مختلفة للتعامل مع الهجوم. وفي الوقت الحالي، ينصح المستخدمين بفحص عنوان الموقع في المتصفح قبل تسجيل الدخول والامتناع عن النقر على الروابط إذا تسلموا مثل هذه الرسائل الإلكترونية. إذا كنت غير متأكد من شرعية البريد الإلكتروني، يمكنك فحص اسم النطاق حرفًا بحرف. يمكن أن تقدم أدوات مثل ملحقات المتصفح التي تبرز العناوين الإلكترونية الموثوقة أو مديري كلمات المرور الذين يقومون بالملء التلقائي فقط على النطاقات المعروفة طبقة إضافية من الحماية.

هذه الهجمات لا تستهدف الأفراد فقط، بل تهدف أيضًا إلى الوصول إلى الحسابات التي قد تنشر أو تدير الحزم المستخدمة على نطاق واسع. إذا قمت بالنقر على الرابط وتقديم بيانات اعتمادك، يُوصى بتغيير كلمة المرور الخاصة بـ PyPI فورًا وفحص سجل الأمان الخاص بحسابك لأي نشاط غير متوقع.

رؤى الخبراء وتوسيع السياق

لا يزال من غير الواضح من يقف وراء هذه الحملة، ولكن النشاط يحمل تشابهًا ملحوظًا مع هجوم تصيد حديث استهدف npm باستخدام نطاق محرف “npnjs[.]com” بدلاً من “npmjs[.]com” لإرسال رسائل تحقق بريد إلكتروني مشابهة لسرقة بيانات اعتماد المستخدمين.

انتهى الهجوم باختراق سبع حزم مختلفة من npm لتوصيل برمجية خبيثة تسمى Scavenger Stealer لجمع البيانات الحساسة من متصفحات الويب. في أحد الحالات، مهدت الهجمات الطريق لحزمة جافا سكريبت التي قامت بجمع معلومات النظام والمتغيرات البيئية ونقل التفاصيل عبر اتصال WebSocket.

تمت رؤية هجمات مشابهة عبر أنظمة npm وGitHub وغيرها من الأنظمة البيئية حيث تلعب الثقة والأتمتة دورًا مركزيًا. تعد الطباعة الخاطئة، والانتحال، وهجمات التصيد العكسي عبر البروكسي كلها تكتيكات في هذه الفئة المتزايدة من الهندسة الاجتماعية التي تستغل كيفية تفاعل المطورين مع الأدوات التي يعتمدون عليها يوميًا.

مناقشة وتحفيز النقاش

مع تزايد التعقيد والتطور في هجمات التصيد، ما هي الاستراتيجيات التي يمكن أن تتبناها المنظمات لتعزيز الوعي الأمني بين مطوريها وكيف يمكن للسياسات الأمنية التكيفية أن تساعد في تخفيف مخاطر هذه الهجمات؟