PyPI 피싱 공격에 대한 요약 (2025년 9월 23일)

PyPI 피싱 공격에 대한 요약 (2025년 9월 23일)

2025년 9월 23일, PyPI 사용자들을 대상으로 새로운 피싱 캠페인이 발견되었습니다. 이 공격은 사용자들에게 "계정 유지 및 보안 절차"를 위해 이메일 주소를 확인하라는 가짜 이메일을 보내 계정 정지를 위협하는 방식을 사용했습니다.

이메일에 포함된 사기성 링크는 사용자를 pypi-mirror.org라는 도메인으로 유도했는데, 이 도메인은 PyPI나 파이썬 소프트웨어 재단(PSF)과는 아무런 관련이 없는 악성 사이트입니다. 이번 공격은 이전 피싱 캠페인의 연장선상에 있으며 새로운 도메인을 사용한 것이 특징입니다.

PyPI는 사용자 보호를 위해 다음과 같은 조치를 취하고 있습니다:

• 악성 도메인을 내리기 위해 등록기관에 연락
• 해당 도메인을 악성 URL 목록에 제출
• 다른 오픈소스 패키지 관리자와 협력

또한 PyPI는 패키지 유지 관리자들에게 다음과 같은 보안 수칙을 권고합니다:

• 이메일에 포함된 요청하지 않은 링크를 신뢰하거나 클릭하지 말 것
• 자동 채우기 기능이 있는 비밀번호 관리자를 사용할 것
• 하드웨어 키와 같은 피싱 방지 2단계 인증(2FA) 방법을 채택할 것