Python Software Foundation (PSF) memperingatkan adanya gelombang baru serangan phishing yang menargetkan pengguna Python Package Index (PyPI). Serangan ini menggunakan situs tiruan PyPI untuk mencuri kredensial pengembang.
Modus Serangan
- Korban menerima email phishing yang mengatasnamakan PyPI dengan alasan “verifikasi email” terkait pemeliharaan dan keamanan akun.
- Email tersebut mengancam akan menangguhkan akun jika pengguna tidak segera melakukan verifikasi.
- Tautan di dalam email mengarahkan korban ke situs palsu pypi-mirror[.]org, yang meniru tampilan resmi PyPI (pypi.org).
Seth Larson, pengembang di PSF, menegaskan bahwa siapa pun yang telah mengklik tautan dan memasukkan kredensial harus segera:
- Mengganti kata sandi PyPI.
- Memeriksa riwayat keamanan akun untuk aktivitas mencurigakan.
- Melaporkan dugaan phishing ke security@pypi.org.
Potensi Dampak
Kredensial yang dicuri berisiko digunakan untuk:
- Menyusup ke paket Python yang telah dipublikasikan.
- Menyebarkan malware melalui paket berbahaya baru.
Kasus serupa pernah terjadi sebelumnya, termasuk pada Juli 2025 dengan domain palsu pypj[.]org, serta pada Maret 2024 ketika PyPI terpaksa menangguhkan registrasi baru akibat ratusan paket berbahaya yang dipublikasikan.
Langkah Pencegahan
PSF memberikan beberapa rekomendasi untuk para pengelola paket di PyPI:
- Jangan pernah mengklik tautan dari email yang mencurigakan.
- Gunakan password manager agar kredensial hanya diisi otomatis pada domain resmi.
- Aktifkan 2FA yang tahan phishing, seperti hardware security key.
- Bagikan email mencurigakan ke komunitas agar lebih banyak orang waspada.
- Laporkan domain berbahaya ke registrar untuk mempercepat pemblokiran.
Catatan Tambahan
Minggu lalu, PSF juga membatalkan seluruh token PyPI yang dicuri dalam serangan supply chain GhostAction. Untungnya, token-token tersebut belum sempat disalahgunakan untuk menyebarkan malware.
Sumber: Python Software Foundation