Résumé de l’attaque de phishing visant PyPI (23 septembre 2025)

Résumé de l’attaque de phishing visant PyPI (23 septembre 2025)

Le 23 septembre 2025, une nouvelle campagne de phishing visant les utilisateurs de PyPI a été découverte. Cette attaque utilisait de faux e-mails demandant aux utilisateurs de vérifier leur adresse e-mail pour des « procédures de maintien du compte et de sécurité », en les menaçant de suspendre leur compte.

Le lien frauduleux inclus dans l’e-mail redirigeait les utilisateurs vers le domaine pypi-mirror.org, un site malveillant qui n’a aucun lien avec PyPI ni avec la Python Software Foundation (PSF). Cette attaque s’inscrit dans la continuité des précédentes campagnes de phishing et se caractérise par l’utilisation d’un nouveau domaine.

Pour protéger les utilisateurs, PyPI prend les mesures suivantes :

• contacter le bureau d’enregistrement pour faire retirer le domaine malveillant
• soumettre ce domaine aux listes d’URL malveillantes
• coopérer avec d’autres gestionnaires de paquets open source

PyPI recommande également aux mainteneurs de paquets de respecter les bonnes pratiques de sécurité suivantes :

• ne pas faire confiance aux liens non sollicités inclus dans les e-mails et ne pas cliquer dessus
• utiliser un gestionnaire de mots de passe avec remplissage automatique
• adopter une méthode de double authentification (2FA) résistante au phishing, comme une clé matérielle