Tóm tắt về cuộc tấn công lừa đảo nhắm vào PyPI (ngày 23 tháng 9 năm 2025)

Tóm tắt về cuộc tấn công lừa đảo nhắm vào PyPI (ngày 23 tháng 9 năm 2025)

Vào ngày 23 tháng 9 năm 2025, một chiến dịch lừa đảo mới nhắm vào người dùng PyPI đã được phát hiện. Cuộc tấn công này sử dụng email giả mạo yêu cầu người dùng xác minh địa chỉ email để phục vụ cho “duy trì tài khoản và quy trình bảo mật”, đồng thời đe dọa đình chỉ tài khoản.

Liên kết lừa đảo trong email dẫn người dùng đến tên miền pypi-mirror.org, một trang độc hại hoàn toàn không liên quan đến PyPI hay Python Software Foundation (PSF). Đây là phần tiếp nối của các chiến dịch lừa đảo trước đó, với điểm đáng chú ý là sử dụng một tên miền mới.

Để bảo vệ người dùng, PyPI đang thực hiện các biện pháp sau:

• Liên hệ với đơn vị đăng ký để gỡ bỏ tên miền độc hại
• Gửi tên miền đó vào danh sách URL độc hại
• Hợp tác với các trình quản lý gói mã nguồn mở khác

Ngoài ra, PyPI cũng khuyến nghị các maintainer gói tuân thủ các nguyên tắc bảo mật sau:

• Không tin tưởng hoặc nhấp vào các liên kết không được yêu cầu có trong email
• Sử dụng trình quản lý mật khẩu có tính năng tự động điền
• Áp dụng phương thức xác thực hai yếu tố (2FA) chống lừa đảo như khóa bảo mật phần cứng