Python 軟體基金會近日向用戶發出警告，指出有威脅行為者正利用假冒的 Python 套件索引 (Python Package Index, PyPI) 網站，對 Python 開發者發動網路釣魚攻擊，企圖竊取他們的憑證。PyPI（可透過 pypi.org 存取）是 Python 套件的官方儲存庫，為開發者提供了一個集中平台，用於分發和安裝第三方軟體庫，並託管著數十萬個套件，是 Python 套件管理工具的預設來源。

PyPI 管理員 Mike Fiedler 警告，PyPI 本身並未遭到入侵，但用戶正成為網路釣魚攻擊的目標，試圖誘騙他們登入一個假冒的 PyPI 網站。過去幾天，在套件元數據中留下電子郵件的 PyPI 專案發布者，可能已經收到一封來自 "noreply@pypj.org" 的電子郵件，標題為「[PyPI] Email verification」。

這並非 PyPI 本身的安全漏洞，而是一次利用用戶對 PyPI 信任的網路釣魚嘗試。該電子郵件會指示用戶點擊一個連結來驗證其電子郵件地址，這個連結會導向一個看起來像 PyPI 但並非官方網站的網路釣魚網站。受害者打開惡意網站後，會被提示登入，這些登入請求會回傳給 PyPI，以欺騙用戶以為他們已成功登入 PyPI。然而，攻擊者實際上正在收集他們的憑證，這些憑證很可能在未來的攻擊中被用於感染受害者上傳到 PyPI 的 Python 套件，或者將新的惡意套件上傳到該平台。

PyPI 管理員已在 PyPI 首頁上添加了橫幅，警告用戶注意這次網路釣魚攻擊，並正努力尋找方法來阻止這場正在進行的惡意活動。Fiedler 補充說：「我們也正在等待 CDN 供應商和域名註冊商回應我們針對網路釣魚網站發送的商標和濫用通知。」
Python 開發者和 PyPI 用戶如果收到這些網路釣魚電子郵件，建議不要點擊內嵌連結，並立即刪除電子郵件。那些已經在 pypj.org 網路釣魚網站上輸入憑證的人，應立即更改其 PyPI 密碼，並檢查其帳戶的「安全歷史記錄」是否存在可疑或意外活動。
值得注意的是，Python 軟體基金會於 2 月份推出了「專案歸檔」新系統，旨在幫助 PyPI 發布者歸檔其專案，向用戶表明預計不會有更新。此外，由於與威脅行為者相關的惡意軟體活動，PyPI 在 2024 年 3 月也被迫暫時中止用戶註冊和新專案的創建，這些威脅行為者上傳了數百個偽裝成合法專案的惡意套件。