PyPI Imbau Pengguna Reset Kredensial Setelah Serangan Phishing Baru

Python Software Foundation (PSF) memperingatkan adanya gelombang baru serangan phishing yang menargetkan pengguna Python Package Index (PyPI). Serangan ini menggunakan situs tiruan PyPI untuk mencuri kredensial pengembang.

Modus Serangan

• Korban menerima email phishing yang mengatasnamakan PyPI dengan alasan “verifikasi email” terkait pemeliharaan dan keamanan akun.
• Email tersebut mengancam akan menangguhkan akun jika pengguna tidak segera melakukan verifikasi.
• Tautan di dalam email mengarahkan korban ke situs palsu pypi-mirror[.]org, yang meniru tampilan resmi PyPI (pypi.org).

Seth Larson, pengembang di PSF, menegaskan bahwa siapa pun yang telah mengklik tautan dan memasukkan kredensial harus segera:

1. Mengganti kata sandi PyPI.
2. Memeriksa riwayat keamanan akun untuk aktivitas mencurigakan.
3. Melaporkan dugaan phishing ke [email protected].

Potensi Dampak

Kredensial yang dicuri berisiko digunakan untuk:

• Menyusup ke paket Python yang telah dipublikasikan.
• Menyebarkan malware melalui paket berbahaya baru.

Kasus serupa pernah terjadi sebelumnya, termasuk pada Juli 2025 dengan domain palsu pypj[.]org, serta pada Maret 2024 ketika PyPI terpaksa menangguhkan registrasi baru akibat ratusan paket berbahaya yang dipublikasikan.

Langkah Pencegahan

PSF memberikan beberapa rekomendasi untuk para pengelola paket di PyPI:

• Jangan pernah mengklik tautan dari email yang mencurigakan.
• Gunakan password manager agar kredensial hanya diisi otomatis pada domain resmi.
• Aktifkan 2FA yang tahan phishing, seperti hardware security key.
• Bagikan email mencurigakan ke komunitas agar lebih banyak orang waspada.
• Laporkan domain berbahaya ke registrar untuk mempercepat pemblokiran.

Catatan Tambahan

Minggu lalu, PSF juga membatalkan seluruh token PyPI yang dicuri dalam serangan supply chain GhostAction. Untungnya, token-token tersebut belum sempat disalahgunakan untuk menyebarkan malware.

Sumber: Python Software Foundation