Python Paket Endeksinin (PYPI) deposunun bakıcıları, paket yöneticisinin artık tedarik zinciri saldırılarını önlemek için süresi dolmuş alanları kontrol ettiğini duyurdu.
Python Yazılım Vakfı (PSF) PYPI Güvenliği ve Güvenlik Mühendisi Mike Fiedler, “Bu değişiklikler Pypi’nin genel hesap güvenlik duruşunu geliştirerek saldırganların hesaplara yetkisiz erişim elde etmek için süresi dolmuş alan adlarını kullanmasını zorlaştırıyor.” Dedi.
En son güncelleme ile niyet, kötü aktörler süresi dolmuş bir alan satın aldığında meydana gelen etki alanı diriliş saldırıları ile mücadele etmek ve şifre sıfırlamaları yoluyla PYPI hesaplarının kontrolünü ele geçirmek için kullanılmaktır.
PYPI, Haziran 2025’in başından beri 1.800’den fazla e -posta adresini doğrulamadığını, ilişkili alanları son kullanma aşamalarına girer girmez. Bu kusursuz bir çözüm olmasa da, aksi takdirde meşru ve tespit edilmesi zor görünecek önemli bir tedarik zinciri saldırısı vektörünün takılmasına yardımcı olur.
E-posta adresleri, ödenmemişse, açık kaynaklı kayıtlar aracılığıyla dağıtılan paketler için kritik bir risk olan alan adlarına bağlıdır. Bu paketler uzun zamandır ilgili bakımcılar tarafından terk edilmişse, ancak yine de aşağı yönlü geliştiriciler tarafından adil bir kullanımdaysa tehdit büyütülür.
PYPI kullanıcılarının hesap kayıt aşamasında e -posta adreslerini doğrulamaları gerekir, böylece sağlanan adreslerin geçerli ve erişilebilir olmasını sağlar. Ancak, etki alanının süresi dolması durumunda bu savunma katmanı etkili bir şekilde etkisiz hale getirilir, böylece bir saldırganın aynı alanı satın almasına ve gelen kutusuna (paketin gerçek sahibinin aksine) bir şifre sıfırlama isteği başlatmasına izin verir.
Oradan, oyuncunun yapması gereken tek şey, bu alan adıyla hesaba erişmek için adımları takip etmektir. Süresi dolmuş alanların ortaya koyduğu tehdit, bilinmeyen bir saldırganın CTX PYPI paketinin bakımı tarafından hesaba erişmek ve depoya Rogue sürümlerini yayınlamak için kullanılan alan adını aldığı 2022’de ortaya çıktı.
PYPI tarafından eklenen en son koruma, bu tür bir hesap devralma (ATO) senaryosunu önlemeyi ve “bir e -posta etki alanı sona ererse ve hesabın 2FA etkin olup olmadığına bakılmaksızın el değiştirirse potansiyel pozlamayı en aza indirmeyi” amaçlamaktadır. Saldırıların yalnızca özel alan adına sahip e -posta adresleri kullanılarak kayıtlı hesaplar için geçerli olduğunu belirtmek gerekir.
PYPI, bir etki alanının durumunu her 30 günde bir sorgulamak için Fastly Durum API’sını kullandığını ve ilgili e -posta adresini süresi dolmuşsa doğrulanmamış olarak işaretlediğini söyledi.
Python Paket Yöneticisi kullanıcılarına, hesaplarda özel bir alan adından yalnızca tek bir doğrulanmış e-posta adresi varsa, iki faktörlü kimlik doğrulamayı (2FA) etkinleştirmeleri ve Gmail veya Outlook gibi başka bir önemli alandan ikinci bir doğrulanmış e-posta adresi eklemeleri tavsiye edilir.