Açık kaynaklı Python paketlerinin resmi üçüncü taraf kaydı olan PyPI, yeni kullanıcıların kaydolmasını ve yeni projelerin platforma yüklenmesini bir sonraki duyuruya kadar geçici olarak askıya aldı.
Beklenmedik hareket, kayıt defterinin büyük bir kötü niyetli kullanıcı ve paket akışıyla başa çıkma mücadelesinin ortasında geldi.
PyPI, yeni kullanıcı ve proje kayıtlarını geçici olarak durdurur
Bugünden itibaren, daha yaygın olarak PyPI olarak bilinen Python Paket Dizini, yeni kullanıcı kayıtlarını ve proje oluşturma işlemlerini bir sonraki duyuruya kadar geçici olarak askıya almıştır.
PyPI yöneticileri tarafından bugün, 20 Mayıs’ta yayınlanan bir olay bildiriminde “PyPI’de yeni kullanıcı ve yeni proje adı kaydı geçici olarak askıya alınmıştır” ifadesi yer almaktadır.
“Geçen hafta dizinde oluşturulan kötü niyetli kullanıcıların ve kötü niyetli projelerin hacmi, özellikle birden fazla PyPI yöneticisi izinliyken, buna zamanında yanıt verme becerimizi geride bıraktı.”
Kayıt yöneticileri, platformdaki yeni kayıtları dondurmalarına neden olan suçluları (kötü niyetli aktörler ve proje adları) tam olarak açıklamamış olsa da, önleyici hareketin, daha kalıcı bir çözüm bulunana kadar düşmanları savuşturması bekleniyor.
“Hafta sonu yeniden toplanırken, yeni kullanıcı ve yeni proje kaydı geçici olarak askıya alındı.”
Diğer açık kaynak kayıtları gibi, PyPI de kötü amaçlı yazılım dağıtmak isteyen düşmanlar tarafından suistimal edilmeye yabancı değil.
Mart 2023’te kötü niyetli bir PyPI paketi renk aptalı risk danışmanlık firması Kroll tarafından ‘Renk Körü’ olarak adlandırılan kötü amaçlı yazılımı dağıtırken yakalandı.
Aynı ay, Sonatype tarafından tanımlanan ‘microsoft-helper’ ve ‘reverse-shell’ PyPI paketleri, sırları dışarı sızdırmak için Discord’u kötüye kullanan bilgi hırsızlarını düşürürken yakalandı.
Bugün PyPI yöneticileri tarafından yapılan hareketin, kayıt defterinde bulunan Python paketlerinin mevcut bakımcılarının eserlerinin daha yeni sürümlerini yayınlamasını etkilemesi pek olası değildir.
Bu gelişmekte olan bir hikaye…