Пакеты PyPi оказались взломаны из-за фишинговой атаки

Сообщается, что недавняя фишинговая кампания была направлена на сотрудников, занятых поддержкой пакетов Python. Специалисты получили на электронную почту письма, содержащие вредоносное ПО, с помощью которого злоумышленники получили контроль над пакетам exotel, spam и сотней других.

Администраторы каталога пакетов PyPi подтвердили атаку. Представители Python отметили, что фишинговый сайт выглядел достаточно правдоподобно, однако его было тяжело спутать с реальным. Теперь администраторы PyPi призывают всех программистов, которые имеют опубликованные в PyPi пакеты, проверить свои разработки на предмет взлома. В противном случае, они будут удалены.

Также администраторы пакетов PyPi заверили пользователей, что приложат все усилия для улучшения мер безопасности. В частности, речь идет об использовании двухфакторной аутентификации.