O Python Package Index (PyPI) introduziu novas proteções contra ataques de ressurreição de domínio, que permitem a invasão de contas por meio de redefinições de senha.
O PyPI é o repositório oficial para pacotes Python de código aberto.
É utilizado por desenvolvedores de software, mantenedores de produtos e empresas que trabalham com bibliotecas, ferramentas e frameworks Python.
As contas dos mantenedores de projetos que publicam software no PyPI estão vinculadas a endereços de e-mail.
No caso de alguns projetos, o endereço de email está atrelado a um nome de domínio.
Se um nome de domínio expira, um atacante pode registrar-se nele e usá-lo para assumir o controle de um projeto no PyPI após configurar um servidor de email e emitir uma solicitação de redefinição de senha para a conta.
O risco disso é o de um ataque à cadeia de suprimentos, onde projetos invadidos lançam versões maliciosas de pacotes Python populares, que, em muitos casos, seriam instalados automaticamente usando pip.
Um caso notável de tal ataque foi o comprometimento do pacote ‘ctx’ em maio de 2022, onde um ator de ameaça adicionou código que visava chaves Amazon AWS e credenciais de conta.
Na tentativa de lidar com esse problema, o PyPI agora verifica se os domínios de endereços de email verificados na plataforma expiraram ou estão entrando em fases de expiração, e marca esses endereços como não verificados.
Tecnicamente, o PyPI utiliza o Domainr’s Status API para determinar o estágio do ciclo de vida de um domínio (ativo, período de carência, período de redenção, pendente de exclusão), para decidir se ação é necessária em uma determinada conta.
Uma vez que os endereços de email entram nesse estado, eles não podem ser usados para redefinições de senha ou outras ações de recuperação de conta, fechando assim a janela de oportunidade para exploração mesmo que um atacante registre o domínio.
As novas medidas entraram em desenvolvimento em abril, quando varreduras tentativas foram realizadas para avaliar o cenário.
Eventualmente, foram introduzidas em junho de 2025, com varreduras diárias.
Desde então, mais de 1.800 endereços de email foram desverificados sob o novo sistema.
Embora não sejam à prova de falhas ou adequadas contra todos os cenários de ataque, as novas medidas reduzem significativamente o risco de atacantes assumirem contas do PyPI por meio da exploração de domínios expirados.
O PyPI recomenda que os usuários adicionem um email de backup de um domínio não personalizado à sua conta para evitar interrupções e habilitem a autenticação de dois fatores em sua conta do PyPI para uma proteção mais forte contra a invasão.
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...