Tim pengelola Python Package Index (PyPI) baru saja mengeluarkan peringatan penting: ada serangan phishing yang tengah berlangsung, menargetkan para pengguna dengan cara yang sangat licik dan meyakinkan.

Modusnya cukup sederhana, namun sangat efektif. Korban menerima email dengan subjek "[PyPI] Email verification" dari alamat mencurigakan noreply@pypj[.]org (perhatikan baik-baik, itu “pypj.org”, bukan “pypi.org”). Di dalam email, pengguna diminta memverifikasi alamat email mereka melalui tautan yang mengarah ke situs palsu yang meniru tampilan PyPI.

Yang membuatnya lebih berbahaya, setelah korban memasukkan data login, mereka langsung diarahkan ke situs PyPI yang asli. Tanpa pesan error, tanpa tanda mencurigakan—semua tampak normal. Namun kenyataannya, kredensial mereka sudah jatuh ke tangan pelaku.

PyPI menegaskan bahwa ini bukan kebocoran data dari sistem mereka, melainkan bentuk manipulasi kepercayaan pengguna terhadap PyPI. Mereka menyarankan beberapa langkah pencegahan:

Serangan ini mirip dengan insiden sebelumnya di ekosistem npm, di mana domain palsu npnjs[.]com digunakan untuk mencuri kredensial dan menyebarkan malware bernama Scavenger Stealer. Aksi serupa juga ditemukan di GitHub dan platform lainnya yang mengandalkan kepercayaan dan otomasi.

Taktik seperti typosquatting, impersonasi, dan reverse proxy phishing kini menjadi senjata utama dalam serangan rekayasa sosial yang menyasar para developer—dan jika tidak waspada, risikonya bisa sangat besar.