PSF alerta sobre campaña de phishing contra PyPI: dominios falsos y riesgo para la cadena de suministro

CyberSecureFox 🦊

La Python Software Foundation (PSF) ha advertido de una nueva campaña de phishing dirigida a desarrolladores y mantenedores de Python Package Index (PyPI). Los correos maliciosos exigen “verificar el correo electrónico” bajo amenaza de bloqueo de cuenta e incluyen enlaces a pypi-mirror[.]org, un dominio que no pertenece a PyPI ni a la PSF. Según el ingeniero de seguridad de PSF, Seth Larson, el objetivo es capturar credenciales y, potencialmente, códigos de segundo factor.

Phishing contra PyPI: cómo operan los atacantes y por qué funciona

La táctica combina typosquatting de dominios y suplantación de notificaciones “oficiales”. Al hacer clic, la víctima aterriza en una página de inicio de sesión falsa que replica la interfaz de PyPI. Allí se recolectan usuario, contraseña y, en algunos casos, códigos TOTP de MFA, habilitando el secuestro de cuentas incluso cuando existen controles básicos de autenticación.

Impacto en la cadena de suministro: de una cuenta comprometida a un paquete malicioso

El control de una cuenta de mantenedor permite a los adversarios publicar versiones trojanizadas o introducir nuevos paquetes con backdoors. Dado que PyPI es un eslabón crítico en la cadena de suministro de software, una intrusión puntual puede escalar a una distribución masiva de código malicioso a organizaciones y usuarios finales que confían en actualizaciones automatizadas.

Caso de referencia en npm: la magnitud del daño potencial

Campañas similares en la comunidad JavaScript expusieron el riesgo sistémico. La compromisión del mantenedor Josh Junon (Qix) en npm —responsable de decenas de paquetes con miles de millones de descargas semanales— derivó en múltiples versiones maliciosas y se consideró uno de los mayores incidentes de supply chain en ese ecosistema. La lección es directa: una sola cuenta de alto impacto puede amplificar el daño a escala global.

Contexto de amenazas: phishing y uso de credenciales robadas

Informes de referencia, como Verizon DBIR, muestran que el phishing y el uso de credenciales robadas se mantienen entre las principales vías de acceso inicial. En entornos de repositorios de paquetes, este vector se traduce en swap de lanzamientos, inyección de dependencias y contaminación de pipelines de CI/CD, con efectos difíciles de detectar de inmediato.

Mitigaciones prioritarias: MFA resistente al phishing y Trusted Publishers

Active MFA resistente al phishing (FIDO2/WebAuthn). Llaves de seguridad y credenciales de plataforma evitan la reutilización de contraseñas y códigos TOTP capturados en sitios falsos. Esta medida eleva de forma significativa el coste para el atacante.

No haga clic en enlaces de correos. Acceda manualmente a pypi.org para validar notificaciones. Los gestores de contraseñas ayudan a detectar dominios falsos al autocompletar solo en sitios legítimos.

Use Trusted Publishers (OIDC) y mínimo privilegio. Vincule la publicación a identidades verificadas y limite permisos por proyecto/rol. Este enfoque reduce el radio de impacto si una cuenta individual se ve comprometida.

¿Ya interactuó con el enlace o ingresó datos?

Cambie de inmediato la contraseña de PyPI y servicios asociados, cierre sesiones activas, revoque tokens de publicación, revise los registros de seguridad por actividad anómala y habilite MFA. Si mantiene paquetes, audite los últimos lanzamientos y comunique posibles riesgos a sus usuarios y a los administradores de PyPI.

Indicadores para detectar el phishing que suplanta a PyPI

Desconfíe de solicitudes urgentes de “verificar el correo para evitar bloqueos”, discrepancias en el dominio o el remitente, y URLs que imitan visualmente a pypi.org. PyPI no solicita credenciales a través de dominios de terceros. Verifique certificados, cabeceras del mensaje y la cadena real de redirecciones antes de autenticarse.

Las campañas de phishing contra repositorios de código abierto no van a disminuir. Una higiene de seguridad constante —MFA resistente al phishing, gestores de contraseñas, Trusted Publishers y segmentación de privilegios— reduce drásticamente el riesgo de comprometer cuentas y de propagar código malicioso en la cadena de suministro. Mantenga la vigilancia, comparta indicadores con su equipo y eleve incidentes rápidamente a PSF y a los canales de seguridad de su plataforma.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.