PyPI紧急警告：伪造邮件+高仿网站，Python开发者正遭遇精准钓鱼攻击

全球数百万Python开发者的“代码家园”正面临一场精心策划的网络钓鱼攻击。近日，Python官方软件包仓库PyPI（Python Package Index）发布紧急安全通告，揭露了一轮针对开发者的持续性钓鱼行动。攻击者通过伪造的验证邮件和高度仿真的钓鱼网站，诱导开发者泄露账户密码，进而窃取项目权限，甚至上传恶意软件包，威胁整个开源生态链。

“这不是一次偶然事件，而是一场有组织、有策略的精准攻击。”公共互联网反网络钓鱼工作组技术专家芦笛在接受采访时强调，“攻击者深谙开发者的工作流程，利用PyPI平台在开发者心中的权威性，设下极具迷惑性的陷阱，一旦得手，后果可能波及成千上万的应用程序。”

一封“验证邮件”背后的双重陷阱

“您的PyPI账户需要验证，请立即点击链接完成操作。”——如果你是一名Python开发者，收到这样的邮件或许会毫不犹豫地点击。然而，这正是此次攻击的核心手段。

据PyPI官方披露，攻击者正在使用一个与官方域名极其相似的伪造邮箱地址——noreply@pypj[.]org（注意是“pypj”而非“pypi”），向全球开发者发送主题为“[PyPI] Email verification”的钓鱼邮件。邮件内容模仿官方通知，声称需要验证邮箱或账户信息，内含一个指向伪造网站的链接。

点击链接后，受害者会被引导至一个与PyPI官网几乎一模一样的虚假登录页面。该页面在视觉设计、Logo、布局甚至交互细节上都与真实网站高度一致，普通用户极难分辨。

“最狡猾的是，攻击者采用了‘反向代理’技术。”芦笛解释道，“当你在钓鱼页面输入账号密码后，系统不仅会窃取你的凭证，还会将你的登录请求‘转发’到真正的PyPI官网。这意味着你不仅能成功登录，甚至能正常下载包、查看项目，完全不会察觉异常。”

这种“无感窃取”手段极大降低了受害者的警惕性。攻击者在获取账户权限后，可立即上传包含恶意代码的Python包，或篡改现有包的代码，导致所有依赖该包的项目在安装或运行时自动执行攻击者的指令，从而实现数据窃取、后门植入或勒索软件分发。

为何PyPI成为攻击“高价值目标”？

PyPI是全球最大的Python开源软件包仓库，托管着超过50万个开源项目，每天被下载数十亿次。开发者通过pip install命令安装的绝大多数第三方库都来自这里。正因其在软件供应链中的核心地位，PyPI账户成为黑客眼中的“黄金目标”。

“控制一个PyPI账户，就等于控制了一个开源项目的‘发布权’。”芦笛指出，“攻击者可以悄无声息地将恶意代码注入到一个广泛使用的库中，比如一个流行的日志工具或网络请求库。一旦这个库被更新，所有使用它的企业应用、网站甚至手机App都可能被感染。这种‘供应链攻击’的传播速度和影响范围，远超传统网络攻击。”

此次事件并非孤例。此前，类似的钓鱼攻击也曾 targeting npm（Node.js包管理器）和RubyGems等平台。攻击者利用开发者对平台通知的信任，结合“仿冒域名”和“高仿页面”技术，成功实施了多起账户劫持事件。

技术拆解：钓鱼攻击的“三重伪装术”

那么，这些攻击是如何做到以假乱真的？芦笛从技术角度拆解了此次钓鱼攻击的“三重伪装术”：

第一重：域名伪装（Typosquatting）

攻击者注册了pypj.org这一“仿冒域名”，利用字母“i”和“j”在部分字体下视觉相似的特性，迷惑用户。这种手法被称为“typosquatting”（打字错误劫持），是钓鱼攻击的常见手段。用户稍不注意，就会误以为是官方域名pypi.org。

第二重：页面克隆（Website Cloning）

攻击者完全复制了PyPI官网的前端代码，包括CSS样式、JavaScript交互和响应式设计，确保钓鱼页面在不同设备上都能完美呈现。这种“克隆网站”技术使得钓鱼页面在视觉上几乎无法与真站区分。

第三重：反向代理（Reverse Proxy）

这是此次攻击最危险的技术。攻击者在钓鱼服务器上设置反向代理，当用户提交登录信息后，服务器先窃取凭证，再将请求转发给真实PyPI站点，并将真实站点的响应返回给用户。整个过程对用户透明，实现了“无感知”窃取。

“这已经不是简单的‘钓鱼’，而是‘蜜罐’。”芦笛说，“它不仅骗密码，还骗信任，让受害者在毫无察觉的情况下完成整个登录流程，极具欺骗性。”

专家紧急支招：四步筑牢PyPI账户安全

面对如此高明的攻击，普通开发者该如何自保？芦笛给出了四条关键建议：

1. 手动输入网址，绝不点击邮件链接

“无论邮件看起来多么官方，都不要直接点击其中的链接。”芦笛强调，“正确的做法是：打开浏览器，手动输入pypi.org，然后通过官网的‘账户设置’或‘安全中心’查看是否有待处理的通知。真正的官方通知，你在官网上一定能找到。”

2. 立即启用多因素认证（MFA）

“这是防止账户被盗的‘终极保险’。”芦笛指出，即使密码被窃取，没有手机验证码、身份验证器App（如Google Authenticator）或安全密钥，攻击者也无法登录。PyPI已支持TOTP（基于时间的一次性密码）和WebAuthn（安全密钥）等多种MFA方式，开发者应立即启用。

3. 仔细核对域名，字母一个都不能错

“多看一眼，少一分风险。”芦笛提醒，收到任何涉及账户安全的邮件，务必仔细检查发件人邮箱和链接中的域名。pypi.org和pypj.org只差一个字母，但却是天壤之别。建议将官方域名加入浏览器书签，避免手动输入出错。

4. 定期检查账户安全日志

PyPI提供“安全历史”功能，记录所有登录和操作行为。开发者应定期查看，如发现异常登录地点或时间，应立即修改密码并启用MFA。

开源生态安全需全链条共治

此次PyPI钓鱼事件再次敲响警钟：开源生态的安全不仅依赖平台方，更需要开发者、企业用户和安全社区的共同维护。

芦笛建议，PyPI等平台应进一步加强邮件系统的防伪机制，如采用更严格的DKIM/SPF邮件认证，并对高风险操作（如包发布、权限变更）增加额外验证步骤。同时，社区应建立更快速的恶意包响应和通报机制。

“网络安全是一场持久战。”芦笛总结道，“攻击者在进化，我们的防御意识和技术也必须同步升级。保护好你的PyPI账户，不仅是保护自己的项目，更是守护整个开源世界的信任基石。”

目前，PyPI已下架相关恶意包，并持续监控攻击活动。平台呼吁全球开发者提高警惕，立即检查账户安全设置，共同抵御这场精准的网络钓鱼威胁。

编辑：芦笛（公共互联网反网络钓鱼工作组）