Indeks Paket Python (PYPI) telah memperkenalkan perlindungan baru terhadap serangan kebangkitan domain yang memungkinkan akun pembajakan melalui pengaturan ulang kata sandi.
PYPI adalah repositori resmi untuk paket Python open-source. Ini digunakan oleh pengembang perangkat lunak, pengelola produk, dan perusahaan yang bekerja dengan pustaka python, alat, dan kerangka kerja.
Akun Perangkat Lunak Penerbitan Pemelihara Proyek di PYPI ditautkan ke alamat email. Dalam hal beberapa proyek, alamat email terkait dengan nama domain.
Jika nama domain berakhir, penyerang dapat mendaftarkannya dan menggunakannya untuk mengendalikan proyek di PYPI setelah menyiapkan server email dan mengeluarkan permintaan reset kata sandi untuk akun tersebut.
Risiko dari ini adalah serangan rantai pasokan di mana proyek-proyek yang dibajak mendorong versi jahat dari paket Python populer, yang, dalam banyak kasus akan dipasang secara otomatis menggunakan PIP.
Salah satu kasus penting dari serangan semacam itu adalah Kompromi paket ‘CTX’ Pada Mei 2022, di mana aktor ancaman menambahkan kode yang menargetkan kunci Amazon AWS dan kredensial akun.
Dalam upaya untuk mengatasi masalah ini, PYPI sekarang memeriksa apakah domain alamat email yang diverifikasi pada platform telah kedaluwarsa atau memasuki fase kedaluwarsa, dan menandai alamat tersebut sebagai tidak diverifikasi.
Secara teknis, PYPI menggunakan API status Domainr untuk menentukan tahap siklus hidup domain (aktif, masa tenggang, periode penebusan, penghapusan yang tertunda), untuk memutuskan apakah tindakan perlu diambil pada akun tertentu.
.jpg)
Sumber: PYPI
Setelah alamat email memasukkan status itu, mereka tidak dapat digunakan untuk pengaturan ulang kata sandi atau tindakan pemulihan akun lainnya, sehingga menutup jendela peluang untuk eksploitasi bahkan jika penyerang mencatat domain.
Itu Langkah -langkah baru Sebenarnya memasuki pengembangan pada bulan April, ketika pemindaian sementara dilakukan untuk mengevaluasi lanskap. Akhirnya, mereka diperkenalkan pada Juni 2025, dengan pemindaian harian. Sejak itu, lebih dari 1.800 alamat email tidak diverifikasi di bawah sistem baru.
Meskipun tidak mudah atau memadai terhadap semua skenario serangan, langkah -langkah baru secara signifikan mengurangi risiko penyerang mengambil alih akun PYPI melalui eksploitasi domain yang sudah kadaluwarsa.
PYPI merekomendasikan agar pengguna menambahkan email cadangan dari domain non-custom ke akun mereka untuk menghindari gangguan, dan mengaktifkan otentikasi dua faktor pada akun PYPI mereka untuk perlindungan yang lebih kuat terhadap pembajakan.
