De Python Package Index (PyPI) waarschuwt ontwikkelaars voor een nieuwe phishingaanval waarbij wordt geprobeerd om inloggegevens te stelen. Vervolgens zouden aanvallers malware aan Python packages kunnen toevoegen. PyPI is een repository voor de Python-programmeertaal en bevat allerlei door de Python-community ontwikkelde packages.

In de phishingmail wordt ontvangers gevraagd om wegens "accountbeheer en veiligheidsprocedures" hun e-mailadres te verifiëren. Een link in de phishingmail wijst naar een domein dat pypi in de naam heeft. Wanneer de ontvanger zijn e-mailadres niet binnen 72 uur verifieert verliest hij toegang tot zijn PyPI-account, aldus het bericht. Eind juli werd een soortgelijke phishingmail verstuurd.

Volgens PyPI is er geen eenvoudige en snelle methode om dit soort aanvallen te stoppen, behalve het verplichten van phishingbestendige tweefactorauthenticatie (2FA). Wel neemt de organisatie verschillende maatregelen, waaronder het rapporteren van de phishingdomeinen en het onderzoeken van methodes om het inloggen via TOTP-gebaseerde 2FA beter bestand tegen phishing te maken.

PyPI doet ontwikkelaars verschillende aanbevelingen, waaronder het gebruik van een wachtwoordmanager die automatisch inloggegevens invoert op basis van het betreffende domein en dat alleen deze optie moet worden gebruikt. Wanneer auto-fill niet werkt is dat een waarschuwing. Verder wordt het gebruik van phishingbestendige 2FA zoals hardware keys aangeraden.