O Python Package Index (PYPI) implementou novas medidas de segurança para proteger contra ataques de ressurreição de domínio, uma ameaça sofisticada da cadeia de suprimentos em que os invasores compram domínios expirados para seqüestrar contas de usuário por meio de mecanismos de redefinição de senha.
Desde o início de junho de 2025, a plataforma não verificou proativamente mais de 1.800 endereços de e -mail associados a domínios que entram nas fases de expiração.
Ataques de ressurreição de domínio explorar um fundamental vulnerabilidade em sistemas de verificação de contas baseadas em email. Quando os usuários do Pypi registram contas, eles devem verificar seus endereços de email clicando em links de confirmação.
A plataforma considera esses endereços de email verificados como fortes indicadores de propriedade da conta, principalmente quando associados à autenticação de dois fatores (2FA).
O vetor de ataque surge quando os nomes de domínio expirarem devido ao não pagamento. Os atores maliciosos podem então registrar esses domínios expirados, estabelecer servidores de email e solicitar redefinições de senha para contas associadas a esses domínios.
Essa técnica já demonstrou impacto no mundo real, afetando pelo menos um projeto PYPI em 2022 e direcionando outros ecossistemas de pacotes.
Implementação técnica
Solução de Pypi Aproveita o monitoramento do status do domínio através da API de status do DomainR, um serviço rapidamente que rastreia os estados de registro de domínio.
A plataforma executa verificações diárias em todos os domínios usados para endereços de email do usuário, atualizando seu banco de dados interno com informações de status atuais.
Quando um domínio entra no período de resgate – ocorrendo praticamente 30 dias após a expiração inicial – o PyPI não verifica automaticamente endereços de email previamente validados desse domínio.
Esse tempo se alinha aos fluxos de trabalho de expiração do domínio padrão, onde os domínios passam por períodos de carência antes de se tornarem disponíveis para re-registro.
O sistema opera em um intervalo de 30 dias, projetado para capturar domínios enquanto permanecem em períodos de graça ou resgate de renovação, antes de possíveis transferências de propriedade.
No entanto, o Pypi reconhece que essa abordagem não pode detectar transferências de domínio legítimo entre as partes que cooperam.
Após a implementação inicial em abril de 2025, o sistema de monitoramento automatizado da PYPI processou volumes significativos de endereços de email potencialmente comprometidos.
O processo de verificação diária continua protegendo os titulares de contas da Pypi e os usuários finais dos pacotes Python.
O aprimoramento da segurança beneficia particularmente as contas mais antigas criadas antes do requisito 2FA da PYPI, implementado para contas com atividades após 1º de janeiro de 2024.
Embora as contas mais recentes com 2FA exijam fatores de autenticação adicionais além do acesso ao email, o sistema de monitoramento de domínio fornece proteção abrangente em toda a base de usuários da Pypi.
Pypi aconselha os usuários com uma única verificada e-mail endereços de domínios personalizados para adicionar verificação secundária por meio de fornecedores estabelecidos como o Gmail.
Essa redundância garante que o acesso à conta permaneça possível se os domínios primários expirarem inesperadamente.
Além disso, os usuários devem implementar o 2FA em todos os serviços usando os mesmos endereços de email, pois os invasores podem tentar a recuperação da conta por meio de várias plataformas durante as campanhas de ressurreição do domínio.
Essas práticas de segurança em camadas reduzem significativamente os vetores de ataque bem -sucedidos, mantendo a acessibilidade do usuário ao extenso repositório de pacotes da Pypi.
Encontre esta notícia interessante! Siga -nosGoogle NewsAssim,LinkedIneXPara obter atualizações instantâneas!