Python geliştiricileri sahte PyPI sitesi üzerinden kimlik avı saldırılarıyla hedef alınıyor
Python Software Foundation, PyPI kullanıcılarını sahte bir site üzerinden yapılan kimlik avı saldırılarına karşı uyardı. "pypj.org" alan adına sahip sahte sitede kullanıcı adı ve parola toplayan saldırganların amacı, geliştiricilerin yüklediği paketleri kötü amaçlı yazılımlarla değiştirmek ya da yeni zararlı paketler yüklemek.
PyPI Topluluğu Kimlik Avı Saldırısına Karşı Uyarıldı: Sahte "Email Verification" E-postalarına Dikkat
Python topluluğunun resmi paket deposu olan PyPI (Python Package Index), bu hafta kullanıcılarını sahte bir web sitesi üzerinden yürütülen kimlik avı saldırısına karşı uyardı. Saldırganlar, PyPI geliştiricilerine "[PyPI] Email verification" başlıklı ve noreply@pypj.org adresinden gönderilen e-postalarla ulaşıyor.
PyPI yöneticisi Mike Fiedler tarafından yapılan açıklamada, “Bu durum PyPI platformunun güvenliğini ihlal eden bir saldırı değil, kullanıcı güvenini istismar eden bir kimlik avı girişimidir. Kullanıcılardan e-postalarını doğrulamaları isteniyor ve sahte bir siteye yönlendiriliyorlar.” ifadeleri kullanıldı.
Söz konusu sahte site, resmi PyPI platformuna görsel olarak benzeyecek şekilde tasarlanmış ve kullanıcıları oturum açmaya yönlendiriyor. Ancak bu giriş bilgilerinin gerçek PyPI’ye iletilmesi yerine saldırganlar tarafından toplandığı belirtiliyor.
Hedef: Hesap Ele Geçirme ve Zararlı Paket Yükleme
Saldırganların amacı, geliştiricilere ait PyPI hesaplarını ele geçirerek daha önce yayımlanmış Python paketlerine kötü amaçlı kod enjekte etmek veya yeni zararlı paketler yüklemek. Bu tür saldırılar, açık kaynak yazılım ekosisteminde geniş çaplı güvenlik tehditlerine yol açabiliyor.
PyPI Platformu Önlem Aldı
PyPI yöneticileri, sitenin ana sayfasına bir uyarı bandı ekleyerek kullanıcıları aktif olarak bilgilendirmeye başladı. Ayrıca, alan adı sağlayıcıları ve CDN firmalarına marka ihlali ve kötüye kullanım bildirimleri gönderildiği belirtildi.
Kullanıcılardan şu önlemleri almaları istendi:
- noreply@pypj.org adresinden gelen e-postalara tıklamadan silinmesi,
- Daha önce bu sahte sitede kullanıcı bilgisi girildiyse, şifrelerinin derhal değiştirilmesi,
- Hesaplarının Security History bölümü üzerinden şüpheli etkinliklerin kontrol edilmesi.
Daha Önce de Saldırılar Yaşanmıştı
Python Software Foundation, geçtiğimiz yıl yüzlerce zararlı paketin yüklenmesiyle sonuçlanan bir kampanya nedeniyle geçici olarak yeni kullanıcı kaydı ve proje oluşturma işlemlerini durdurmak zorunda kalmıştı. Ayrıca Şubat 2025’te başlatılan Project Archival sistemiyle, artık güncelleme almayacak projelerin arşivlenmesi kolaylaştırılmıştı.
Uzmanlar, açık kaynak topluluklarında yer alan geliştiricilerin e-posta adreslerini içeren meta verilerinin saldırganlar için değerli bir kaynak olduğunu ve bu verilerin kimlik avı kampanyalarında kullanılabileceğini hatırlatıyor.
Kaynak: CUMHA - CUMHUR HABER AJANSI
Tepkiniz Nedir?
