La Python Software Foundation (PSF) ha advertido de una nueva campaña de phishing dirigida a desarrolladores y mantenedores de Python Package Index (PyPI). Los correos maliciosos exigen “verificar el correo electrónico” bajo amenaza de bloqueo de cuenta e incluyen enlaces a pypi-mirror[.]org, un dominio que no pertenece a PyPI ni a la PSF. Según el ingeniero de seguridad de PSF, Seth Larson, el objetivo es capturar credenciales y, potencialmente, códigos de segundo factor.
Phishing contra PyPI: cómo operan los atacantes y por qué funciona
La táctica combina typosquatting de dominios y suplantación de notificaciones “oficiales”. Al hacer clic, la víctima aterriza en una página de inicio de sesión falsa que replica la interfaz de PyPI. Allí se recolectan usuario, contraseña y, en algunos casos, códigos TOTP de MFA, habilitando el secuestro de cuentas incluso cuando existen controles básicos de autenticación.
Impacto en la cadena de suministro: de una cuenta comprometida a un paquete malicioso
El control de una cuenta de mantenedor permite a los adversarios publicar versiones trojanizadas o introducir nuevos paquetes con backdoors. Dado que PyPI es un eslabón crítico en la cadena de suministro de software, una intrusión puntual puede escalar a una distribución masiva de código malicioso a organizaciones y usuarios finales que confían en actualizaciones automatizadas.
Caso de referencia en npm: la magnitud del daño potencial
Campañas similares en la comunidad JavaScript expusieron el riesgo sistémico. La compromisión del mantenedor Josh Junon (Qix) en npm —responsable de decenas de paquetes con miles de millones de descargas semanales— derivó en múltiples versiones maliciosas y se consideró uno de los mayores incidentes de supply chain en ese ecosistema. La lección es directa: una sola cuenta de alto impacto puede amplificar el daño a escala global.
Contexto de amenazas: phishing y uso de credenciales robadas
Informes de referencia, como Verizon DBIR, muestran que el phishing y el uso de credenciales robadas se mantienen entre las principales vías de acceso inicial. En entornos de repositorios de paquetes, este vector se traduce en swap de lanzamientos, inyección de dependencias y contaminación de pipelines de CI/CD, con efectos difíciles de detectar de inmediato.
Mitigaciones prioritarias: MFA resistente al phishing y Trusted Publishers
Active MFA resistente al phishing (FIDO2/WebAuthn). Llaves de seguridad y credenciales de plataforma evitan la reutilización de contraseñas y códigos TOTP capturados en sitios falsos. Esta medida eleva de forma significativa el coste para el atacante.
No haga clic en enlaces de correos. Acceda manualmente a pypi.org para validar notificaciones. Los gestores de contraseñas ayudan a detectar dominios falsos al autocompletar solo en sitios legítimos.
Use Trusted Publishers (OIDC) y mínimo privilegio. Vincule la publicación a identidades verificadas y limite permisos por proyecto/rol. Este enfoque reduce el radio de impacto si una cuenta individual se ve comprometida.
¿Ya interactuó con el enlace o ingresó datos?
Cambie de inmediato la contraseña de PyPI y servicios asociados, cierre sesiones activas, revoque tokens de publicación, revise los registros de seguridad por actividad anómala y habilite MFA. Si mantiene paquetes, audite los últimos lanzamientos y comunique posibles riesgos a sus usuarios y a los administradores de PyPI.
Indicadores para detectar el phishing que suplanta a PyPI
Desconfíe de solicitudes urgentes de “verificar el correo para evitar bloqueos”, discrepancias en el dominio o el remitente, y URLs que imitan visualmente a pypi.org. PyPI no solicita credenciales a través de dominios de terceros. Verifique certificados, cabeceras del mensaje y la cadena real de redirecciones antes de autenticarse.
Las campañas de phishing contra repositorios de código abierto no van a disminuir. Una higiene de seguridad constante —MFA resistente al phishing, gestores de contraseñas, Trusted Publishers y segmentación de privilegios— reduce drásticamente el riesgo de comprometer cuentas y de propagar código malicioso en la cadena de suministro. Mantenga la vigilancia, comparta indicadores con su equipo y eleve incidentes rápidamente a PSF y a los canales de seguridad de su plataforma.
