最近圈子里炸了锅,很多用过 PyPI 的人差点把密码白送出去。
首先声明 PyPI 没有被黑,大家可以放心使用。
今天分享的是一个关于 PyPI 的钓鱼邮件事件。
事情是这样的,最近几天,如果你在 PyPI 上发过包,并且邮箱是公开的,可能会收到一封标题叫做 [PyPI] Email verification 的邮件,发件人是 noreply@pypj.org(注意,是 pypj.org,不是 pypi.org,中间那个 i 被换成了 j!)。
这封邮件看起来很官方,其实就是个骗局,目的是想让你点里面的链接去一个“山寨版”的 PyPI 网站上登录,把你的账号密码骗走。
简单说下套路:
- 邮件里让你去验证邮箱,链接跳转到一个假冒 PyPI 的页面。
- 你一看界面很像,就直接输入用户名密码。
- 表面上它再跳回真·PyPI,看似没问题,但实际上你的账号密码已经被他们拿走了。
目前官方已经在 PyPI 首页挂了一个警示横幅,提醒大家小心这种钓鱼邮件。
遇到这种情况该怎么做?
- 第一条:看到这种邮件直接删掉,别点里面的任何链接。
- 如果你一不小心已经点了链接并且输过密码,马上去 PyPI 改密码!
- 顺便看看 PyPI 账号里的安全历史记录,看看有没有奇怪的操作。
- 登录任何网站前,一定要瞄一眼浏览器地址栏的域名,别被假域名骗了。
官方这边已经在联系 CDN 和域名注册商处理 pypj.org 这个钓鱼网站,后续还会采取更多措施。
一句话总结:
这不是 PyPI 自身被攻破,是有人在冒充 PyPI 发钓鱼邮件。真正的 PyPI 域名只有 pypi.org,认准这个就行了。
稳住心态,不要被吓到,保护好自己的密码就没事了。
