The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

В репозитории PyPI реализована блокировка email с освобождёнными доменами

21.08.2025 11:21

Разработчики репозитория Python-пакетов PyPI (Python Package Index) реализовали защиту от захвата проектов путём покупки освобождённых доменов, указанных в параметрах учётных записей. Атака сводится к тому, что атакующие выискивают учётные записи, привязанные к email с просроченными доменами, после чего регистрируют освобождённый домен на себя, перенаправляют почтовый трафик на свой сервер и, получив контроль над email, инициируют процесс восстановления забытого пароля. В 2022 году данным способом был получен контроль за Python-пакетом ctx.

Для защиты от подобных атак в PyPI реализован ежедневный мониторинг актуальности доменных имён, используемых в email-адресах. Email-адреса с доменами, срок действия которых истёк, теперь автоматически переводятся в состояние неподтверждённых. Для неподтверждённых адресов PyPI не позволяет выполнить операцию восстановления пароля. Повторное прохождение верификации может инициировать только владелец учётной записи, знающий пароль.

С начала июня в пользовательской базе PyPI выявлено более 1800 email-адресов, связанных с вовремя не продлёнными доменами. C 1 января 2024 года каталог PyPI перешёл на обязательную двухфакторную аутентификацию, без включения которой пользователь не может выполнять действия по управлению проектом. Тем не менее, для старых пользователей, созданных до введения обязательной двухфакторной аутентификации, сохраняется возможность восстановления пароля через подтверждение по email, не требующее двухфакторной проверки.

  1. Главная ссылка к новости (https://blog.pypi.org/posts/20...)
  2. OpenNews: Перехвачены 4 учётные записи в PyPI и выпущены вредоносные релизы num2words
  3. OpenNews: Фишинг-атака на сопровождающих Python-пакеты в репозитории PyPI
  4. OpenNews: Каталог PyPI внедрил новую систему проверки подлинности пакетов
  5. OpenNews: Подмена зависимости в Python-библиотеке, насчитывающей 40 млн загрузок в месяц
  6. OpenNews: Инциденты с безопасностью в репозиториях PyPI и crates.io
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/63753-pypi
Ключевые слова: pypi, python, domain
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (12) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.2, Аноним (2), 11:44, 21/08/2025 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    Вердикт: те, кто делают свой нескучный домен в почтовых адресах, являются ССЗБ. Нет ведь по-человечески использовать gmail и прочие надежные провайдеры. Надо обязательно чтобы было нескучно и нетакусечно.
     
     
  • 2.4, Жироватт (ok), 12:03, 21/08/2025 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Господин майор послал DHL'ем вам пакет печенек и талон на три гамбургера и милкшейк за счёт Фонда Защиты Карликовых Японских Минипигов.
    Товарищ майор уже попросил курьера на рефрижераторе с надписью "ХЛЕБ" доставить вам три пачки "Примы", бутылку "Талки" и продуктовый набор за хорошую службу.
    Товарищ майор АлиЭспресс послать бесплатно Новый почти как настоящий кошка жена, джинса отверстие залом ноги на лямках и рис бурый Хайнань упаковка 10pcs.
     
  • 2.5, Аноним (5), 12:04, 21/08/2025 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Смысл почты в децентрализации не независимости от корпораций. Вот только корпорации понаделали своих бесплатных почт и начали банить независимые почтовые ящики, чтобы захватить рынок почты. И скажите что это не картельный сговор и не заговор рептилоидов.
     
     
  • 3.8, Аноним (-), 12:33, 21/08/2025 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Смысл почты в децентрализации не независимости от корпораций

    Это кто придумал? Васяны?

    > Вот только корпорации понаделали своих бесплатных почт

    Какие меpзaвцы! Предоставили бесплатный сервис без необходимости прдлинга со своим серваком!

    > и начали банить независимые почтовые ящики

    которые были рассадником спама. И правильно сделали.

    > чтобы захватить рынок почты.

    У них и так был рынок. Как можно захватить то, что ты уже контролируешь?

    > И скажите что это не картельный сговор и не заговор рептилоидов.

    Нет конечно. А где вы тут рептилоидов увидели?))

     
  • 3.11, Эксконтрибутор FreeBSD (?), 13:10, 21/08/2025 [^] [^^] [^^^] [ответить]  
  • +/
    > начали банить независимые почтовые ящики

    Опять вранье
    Никаких проблем со своими серверами нет
    Настрой DKIM, пропиши SPF, пропиши DMARC, не забудь прописать PTR и все прекрасно работает, письма отмечаются как доверенные для твоего домена и не попадают в спам. Чудо? Нет, просто игра по общим для всех правилам

     

  • 1.3, Аноним (3), 12:00, 21/08/2025 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Да вообще пофиг на pypi. Ставлю всё исключительно из гита + из релизов гихаба + из пакетного менеджера ОС.
     
     
  • 2.7, Аноним (7), 12:09, 21/08/2025 [^] [^^] [^^^] [ответить]  
  • +/
    Обновлять как собираешься. Ставить из гита надо только когда тебе нужен мастер.
     
  • 2.10, старшина (?), 12:37, 21/08/2025 [^] [^^] [^^^] [ответить]  
  • +/
    На гитхабе безопасно? Там почту перехватить не смогут?
     

  • 1.6, Аноним (-), 12:09, 21/08/2025 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • +1 +/
     
  • 1.9, Аноним (9), 12:36, 21/08/2025 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    А ты уже стал мошенником или только учишься?
     
  • 1.12, Аноним (12), 13:22, 21/08/2025 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • +/
     
  • 1.13, 12yoexpert (ok), 13:30, 21/08/2025 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ну то есть если жертва вендорлока проспала оплату домена на один день и не знает пароль - про акк можно забыть
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2025 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру