أصدر القائمون على مستودع Python Package Index (PyPI) تحذيراً بشأن حملة تصيّد إلكتروني جارية تستهدف المستخدمين بهدف إعادة توجيههم إلى مواقع مزيفة تحاكي موقع PyPI الرسمي.
وتعتمد هذه الحملة على إرسال رسائل بريد إلكتروني تحمل عنوان “[PyPI] Email verification” وتظهر كأنها صادرة من البريد الإلكتروني noreply@pypj[.]org — وهو نطاق مزور يشبه “pypi[.]org” ولكنه مختلف عنه.
وأكد مايك فيدلر، أحد مديري PyPI، في منشور يوم الاثنين أن “هذا لا يُعدّ خرقًا أمنيًا في PyPI نفسه، بل هو محاولة تصيّد تستغل الثقة التي يوليها المستخدمون لـ PyPI.”
أسلوب خداعي لا يثير الشك
تحتوي الرسائل على رابط يُطلب من المستخدمين النقر عليه لتأكيد عنوان بريدهم الإلكتروني. هذا الرابط يقود إلى موقع تصيّد يحاكي واجهة موقع PyPI بشكل دقيق بهدف سرقة بيانات تسجيل الدخول.
لكن اللافت أن الموقع المزيف يعيد توجيه الطلب بعد إدخال بيانات الدخول إلى الموقع الحقيقي لـ PyPI، ما يخدع الضحايا ويجعلهم يظنون أن كل شيء طبيعي. ويُعد هذا الأسلوب أكثر تعقيداً في الكشف عنه، لعدم ظهور أي رسائل خطأ أو فشل في تسجيل الدخول.
إجراءات وقائية من PyPI والمجتمع الأمني
أشار فريق PyPI إلى أنه يدرس حالياً طرقاً متعددة لمعالجة هذا النوع من الهجمات. وفي الوقت الراهن، يُنصح المستخدمون بفحص رابط URL بعناية قبل تسجيل الدخول، وتجنب النقر على أي روابط واردة من هذا النوع من الرسائل.
ولتفادي الوقوع في الفخ، يُستحسن التحقق من اسم النطاق حرفاً بحرف. كما يمكن استخدام إضافات المتصفح التي تُظهر عناوين المواقع الموثوقة، أو الاعتماد على مديري كلمات المرور الذين يملؤون البيانات تلقائياً فقط في المواقع الأصلية.
وقال فيدلر: “إذا كنت قد نقرت على الرابط وأدخلت بياناتك، فعليك تغيير كلمة مرورك على PyPI فوراً، ومراجعة سجل الأمان لحسابك بحثاً عن أي نشاط غير مألوف.”
تشابه مع هجمات سابقة استهدفت npm
لم يُعرف بعد من يقف وراء هذه الحملة، لكن أسلوبها يشبه كثيراً هجوماً مماثلاً استهدف منصة npm مؤخراً، حيث استُخدم نطاق مزوّر “npnjs[.]com” بدلاً من “npmjs[.]com” لإرسال رسائل تحقق وهمية بهدف سرقة بيانات الاعتماد.
وقد أسفرت تلك الحملة عن اختراق سبع حزم npm مختلفة لزرع برمجية خبيثة تُعرف باسم Scavenger Stealer، والتي صُمّمت لسرقة البيانات الحساسة من متصفحات الويب. وفي بعض الحالات، مكّنت الهجمات من تنفيذ شيفرة JavaScript لجمع معلومات النظام والبيئة وإرسالها إلى الخارج عبر اتصال WebSocket.
اتساع نطاق التصيّد في منظومات المطورين
شوهدت هجمات مشابهة في منصات npm وGitHub وغيرها من البيئات التي تلعب فيها الثقة والأتمتة دوراً محورياً. وتشمل هذه الأساليب الهندسية الاجتماعية مثل تقليد النطاقات (Typosquatting)، وانتحال الهوية، والتصيّد باستخدام الوكلاء العكسيين، وهي تكتيكات باتت تتكرر بشكل متزايد مستهدفة مطورين يعتمدون يومياً على هذه الأدوات.
