De onderhouders van de Repository Python Package Index (PYPI) hebben aangekondigd dat de pakketbeheerder nu controleert op verlopen domeinen om aanvallen van supply chain te voorkomen.
“Deze wijzigingen verbeteren de algemene accountbeveiligingshouding van PYPI, waardoor het voor aanvallers moeilijker wordt om verlopen domeinnamen te exploiteren om ongeautoriseerde toegang tot accounts te krijgen,” zei Mike Fiedler, PYPI Safety and Security Engineer bij de Python Software Foundation (PSF).
Met de laatste update is het de bedoeling om domeinopstandingsaanvallen aan te pakken, die plaatsvinden wanneer slechte actoren een verlopen domein kopen en het gebruiken om de controle over PYPI -accounts te nemen via wachtwoordresets.
PYPI zei dat het sinds begin juni 2025 meer dan 1.800 e -mailadressen heeft geverifieerd, zodra hun bijbehorende domeinen de vervalfasen binnengingen. Hoewel dit geen waterdichte oplossing is, helpt het bij het aansluiten van een significante aanvalsvector van de supply chain die anders legitiem en moeilijk te detecteren zou lijken, voegde het eraan toe.
E-mailadressen zijn gekoppeld aan domeinnamen die op hun beurt kunnen vervallen, indien onbetaald achtergelaten-een kritisch risico voor pakketten die zijn gedistribueerd via open-source registers. De dreiging wordt vergroot als die pakketten al lang worden verlaten door hun respectieve onderhouders, maar nog steeds in een behoorlijke hoeveelheid gebruik zijn door stroomafwaartse ontwikkelaars.
PYPI -gebruikers zijn verplicht om hun e -mailadressen tijdens de accountregistratiefase te verifiëren, waardoor ervoor zorgt dat de verstrekte adressen geldig en toegankelijk zijn voor hen. Maar deze verdedigingslaag wordt effectief geneutraliseerd als het domein vervalt, waardoor een aanvaller hetzelfde domein kan kopen en een wachtwoordresetverzoek kan initiëren, dat in hun inbox zou landen (in tegenstelling tot de eigenlijke eigenaar van het pakket).
Van daaruit moet de dreiging die acteur hoeft te doen, de stappen volgen om toegang te krijgen tot het account met die domeinnaam. De dreiging van verlopen domeinen ontstond in 2022, toen een onbekende aanvaller het domein kreeg dat werd gebruikt door de onderhoud van het CTX PYPI -pakket om toegang te krijgen tot het account en malafide versies te publiceren naar de repository.
De nieuwste beveiliging die door PYPI wordt toegevoegd, is bedoeld om dit soort accountovername (ATO) -scenario te voorkomen en “potentiële blootstelling te minimaliseren als een e -maildomein vervalt en van eigenaar verandert, ongeacht of het account 2FA is ingeschakeld.” Het is vermeldenswaard dat de aanvallen alleen van toepassing zijn op accounts die zijn geregistreerd met behulp van e -mailadressen met een aangepaste domeinnaam.
PYPI zei dat het gebruik maakt van Fastly’s Status API om de status van een domein elke 30 dagen op te vragen en het overeenkomstige e -mailadres als niet -geverifieerd te markeren als het is verlopen.
Gebruikers van de Python-pakketbeheer worden geadviseerd om twee-factor authenticatie (2FA) in te schakelen en een tweede geverifieerd e-mailadres toe te voegen van een ander opmerkelijk domein, zoals Gmail of Outlook, als de accounts slechts één geverifieerd e-mailadres hebben van een aangepaste domeinnaam.
