امنیت بیشتر در PyPI: پایان سوءاستفاده از دامنه‌های منقضی برای تصاحب حساب‌ها!

فهرست بسته‌های پایتون (PyPI) محافظت‌های جدیدی اضافه کرده تا جلوی حملات «احیای دامنه» را بگیرد؛ حملاتی که از طریق ریست رمز عبور می‌توانند حساب‌ها را تصاحب کنند.

PyPI چیست؟

PyPI مخزن رسمی برای پکیج‌های متن‌باز پایتون است که توسط توسعه‌دهندگان نرم‌افزار، مدیران محصولات و شرکت‌هایی که با کتابخانه‌ها، ابزارها و فریم‌ورک‌های پایتون کار می‌کنند، استفاده می‌شود. حساب‌های مدیران پروژه‌هایی که نرم‌افزار را در PyPI منتشر می‌کنند، به آدرس‌های ایمیل متصل هستند. در برخی پروژه‌ها، این آدرس‌های ایمیل به نام‌های دامنه مرتبط‌اند. اگر یک نام دامنه منقضی شود، مهاجم می‌تواند آن را ثبت کرده و با راه‌اندازی یک سرور ایمیل و درخواست بازنشانی رمز عبور، کنترل پروژه‌ای را در PyPI به دست بگیرد.

این خطر منجر به حملات زنجیره تأمین می‌شود که در آن پروژه‌های ربوده‌شده نسخه‌های مخرب پکیج‌های پایتون محبوب را منتشر می‌کنند، که اغلب به‌صورت خودکار با استفاده از ابزار pip نصب می‌شوند. نمونه قابل‌توجه این نوع حمله، به خطر افتادن پکیج ctx در می ۲۰۲۲ بود که مهاجم کدی را اضافه کرد که کلیدها و اطلاعات ورود Amazon AWS را هدف قرار می‌داد.

برای مقابله با این مشکل، PyPI اکنون بررسی می‌کند که آیا دامنه‌های آدرس‌های ایمیل تأییدشده در پلتفرم منقضی شده‌اند یا در مراحل انقضا قرار دارند و این آدرس‌ها را به‌عنوان تأییدنشده علامت‌گذاری می‌کند. PyPI از Domainr’s Status API برای تعیین مرحله چرخه عمر دامنه (فعال، دوره مهلت، دوره بازخرید، در انتظار حذف) استفاده می‌کند تا تصمیم بگیرد آیا اقدامی برای حساب موردنظر لازم است یا خیر.