L’article publié sur le blog de PyPI informe que les utilisateurs de PyPI sont actuellement visés par une attaque de phishing. Les utilisateurs concernés sont ceux ayant publié des projets sur PyPI avec leur email dans les métadonnées des packages.
Les attaquants envoient des emails intitulés “[PyPI] Email verification” depuis l’adresse noreply@pypj.org, un domaine frauduleux qui remplace le ‘i’ par un ‘j’. Ces emails incitent les utilisateurs à cliquer sur un lien menant à un faux site PyPI, où ils sont invités à se connecter. Les identifiants ainsi fournis tombent entre les mains des attaquants.
PyPI souligne qu’il ne s’agit pas d’une faille de sécurité de leur plateforme, mais d’une tentative d’hameçonnage exploitant la confiance des utilisateurs envers PyPI. Un bandeau d’avertissement a été ajouté sur la page d’accueil de PyPI pour alerter les utilisateurs.
Les administrateurs de PyPI travaillent à résoudre cette attaque en collaboration avec les fournisseurs de CDN et les registraires de noms de domaine pour traiter les notifications d’abus. Les utilisateurs ayant reçu cet email sont invités à ne pas cliquer sur les liens et à supprimer le message.
Cet article sert de rapport d’incident pour sensibiliser les utilisateurs de PyPI à l’attaque en cours et les inciter à la vigilance.
🔗 Source originale : https://blog.pypi.org/posts/2025-07-28-pypi-phishing-attack
🖴 Archive : https://web.archive.org/web/20250802185932/https://blog.pypi.org/posts/2025-07-28-pypi-phishing-attack/