Los administradores del repositorio Python Package Index (PyPI) han emitido una advertencia sobre una campaña de phishing activa dirigida a desarrolladores, cuyo objetivo es robar credenciales mediante correos electrónicos falsos y dominios que imitan al oficial.

Los correos maliciosos llegan con el asunto “[PyPI] Email verification” y provienen de la dirección noreply@pypj[.]org, un dominio diseñado para parecer legítimo, pero que en realidad no tiene relación con pypi[.]org.

Una Estrategia Avanzada de Ingeniería Social

Según Mike Fiedler, administrador de PyPI, no se trata de una violación a los sistemas de PyPI, sino de un intento de phishing que busca aprovechar la confianza que los usuarios tienen en la plataforma. Los correos invitan al destinatario a hacer clic en un enlace para verificar su dirección de correo, lo cual los lleva a un sitio falso que imita la página de inicio de sesión de PyPI.

Lo preocupante de esta técnica es que utiliza un proxy inverso, lo que significa que, tras ingresar sus credenciales en el sitio falso, estas se reenvían silenciosamente al sitio real de PyPI. El usuario entra a su cuenta sin notar nada extraño, lo que dificulta detectar el ataque al no haber errores ni fallos de autenticación visibles.

Recomendaciones para Desarrolladores

PyPI se encuentra evaluando métodos para contrarrestar esta amenaza, pero mientras tanto, insta a los usuarios a verificar cuidadosamente la URL en el navegador antes de iniciar sesión y a no hacer clic en enlaces de correos sospechosos.

Para protegerse mejor, se recomienda:

• Utilizar extensiones de navegador que identifiquen sitios verificados
• Usar gestores de contraseñas que solo completen formularios en dominios legítimos
• Revisar el historial de seguridad en la cuenta de PyPI para detectar actividades inusuales

En caso de haber ingresado credenciales en el sitio falso, se recomienda cambiar la contraseña de PyPI de inmediato.

Un Patrón Común en Plataformas de Desarrollo

Aunque aún no se ha identificado al responsable de esta campaña, la actividad guarda un gran parecido con ataques recientes contra npm, donde se utilizó un dominio falso (npnjs[.]com) para lanzar una campaña de phishing similar. Ese ataque comprometió siete paquetes, distribuyendo el malware Scavenger Stealer, diseñado para extraer datos confidenciales del navegador, información del sistema y variables de entorno mediante conexión WebSocket.

Este tipo de amenazas se está volviendo cada vez más común en ecosistemas como npm, GitHub y PyPI, donde la confianza y la automatización son elementos clave. Las técnicas utilizadas incluyen:

• Suplantación de identidad mediante dominios similares (typosquatting)
• Imitación de sitios confiables
• Phishing con proxy inverso

Ante este panorama, es esencial reforzar las prácticas de confianza cero, validar dominios con precisión y educar a los equipos de desarrollo sobre los riesgos de la ingeniería social.

Fuente: https://thehackernews.com/2025/07/pypi-warns-of-ongoing-phishing-campaign.html