




PyPI блокирует атаки с восстановлением домена из-за перехвата аккаунтов
Python Package Index (PyPI) представил новые средства защиты от атак восстановления домена, которые позволяют перехватывать учётные записи посредством сброса пароля.
PyPI — официальный репозиторий пакетов Python с открытым исходным кодом. Он используется разработчиками программного обеспечения, специалистами по поддержке продуктов и компаниями, работающими с библиотеками, инструментами и фреймворками Python.
Учётные записи разработчиков проектов, публикующих программное обеспечение на PyPI, привязаны к адресам электронной почты. В некоторых проектах адрес e-mail привязан к доменному имени. По истечении срока действия этого имени злоумышленник может зарегистрировать его и использовать для получения контроля над проектом на PyPi, настроив почтовый сервер и отправив запрос на сброс пароля для учётной записи.
Риск заключается в атаке на цепочку поставок, когда перехваченные проекты распространяют вредоносные версии популярных пакетов Python, которые во многих случаях устанавливаются автоматически с помощью pip.
Одним из примечательных случаев такой атаки стала компрометация пакета «ctx» в мае 2022 года, когда злоумышленник добавил код, нацеленный на ключи и учётные данные Amazon AWS. В том же году в каталоге PyPI обнаружили более 20 вредоносных пакетов, нацеленных на кражу криптовалюты.
Для решения этой проблемы PyPI теперь проверяет, истёк ли срок действия доменов подтверждённых адресов электронной почты на платформе или приближается к этому моменту, а затем помечает эти адреса как неподтверждённые.
Технически PyPI использует API-интерфейс Domainr Status для определения стадии жизненного цикла домена (активен, льготный период, период выкупа, ожидание удаления) и принятия решения о мерах в отношении данной учётной записи. После
Читать на habr.com