Növekvő ellátásilánc-veszélyek
Egy sikeres fiókeltérítés könnyedén lehetővé teszi, hogy kártékony verziókat töltsenek fel közkedvelt Python csomagokból, amelyeket ezután sokan – akár automatikusan is – telepítenek. Erre már volt példa 2022 májusában, amikor egy támadó rosszindulatú kódot adott egy csomaghoz, és ezzel Amazon AWS-kulcsokat és felhasználói adatokat célzott meg.
Hogyan működik az új védelem?
Ezután a PyPI a hitelesített e-mail címekhez tartozó domainek esetében minden nap ellenőrzi, hogy azok érvényesek-e, nem jártak-e le, vagy nincsenek-e törlés előtti állapotban. Az ellenőrzést a Domainr Status API-n keresztül végzik. Annak a domainnek, amelyik elérte a lejárati stádiumot, a hozzá tartozó e-mail címét azonnal letiltják, használhatatlanná téve azt fiók-helyreállításra vagy jelszóváltásra. Április óta már több mint 1800 ilyen e-mail címet tiltott le a rendszer.
Mit javasol a PyPI?
Bár az új intézkedés nem old meg minden problémát, jelentősen csökkenti a zombi domaineken alapuló támadások veszélyét. A PyPI azt tanácsolja, hogy mindenki adjon meg a fiókjához alternatív, nem saját domainhez tartozó e-mail címet, illetve aktiválja a kétfaktoros hitelesítést a nagyobb védelem érdekében.
