«Свой домен хорошо, а резервный — лучше» — PyPI советует добавить второй проверенный e-mail на стороннем сервисе

PyPI Python Software Foundation Fastly supply chain атака истёкшие домены безопасность пакетов двухфакторная аутентификация
«Свой домен хорошо, а резервный — лучше» — PyPI советует добавить второй проверенный e-mail на стороннем сервисе
PyPI Python Software Foundation Fastly supply chain атака истёкшие домены безопасность пакетов двухфакторная аутентификация

Новый алгоритм будет постоянно сканировать интернет в поисках опасности.

image

Разработчики Python Package Index (PyPI) сообщили о внедрении нового механизма проверки доменов электронной почты, чтобы пресечь атаки через истекшие доменные имена и снизить риски компрометации пакетов. По словам инженера по безопасности Python Software Foundation Майка Фидлера, цель этой меры — укрепить защиту учётных записей и предотвратить захваты через восстановление пароля на почтовые адреса, привязанные к просроченным доменам.

С начала июня 2025 года PyPI признал недействительными более 1800 адресов, как только у связанных с ними доменов закончился срок регистрации. Это не исключает угрозу полностью, однако закрывает важный вектор атак, который долгое время оставался трудноуловимым. Основная опасность возникает тогда, когда злоумышленник выкупает освободившийся домен, получает контроль над входящей почтой и инициирует сброс пароля на учётную запись разработчика. В результате он способен завладеть пакетом и распространять под его именем вредоносные версии.

Подобный метод стал известен ещё в 2022 году, когда неизвестный атакующий приобрёл домен разработчика пакета ctx и получил доступ к его учётной записи, загрузив поддельные сборки. С тех пор атаки через «возрождённые» домены стали рассматриваться как серьёзная угроза экосистеме открытого кода. Особенно уязвимыми оказываются проекты, оставленные без поддержки, но активно используемые другими разработчиками.

Теперь PyPI каждые 30 дней с помощью Status API от Fastly проверяет состояние доменов, к которым привязаны почтовые адреса, и в случае истечения снимает с них верификацию. Такой подход действует вне зависимости от того, подключена ли двухфакторная аутентификация, что дополнительно снижает риск несанкционированного доступа. Однако механизм распространяется только на учётные записи, зарегистрированные с адресами на собственных доменах, а не на популярных сервисах вроде Gmail или Outlook.

Пользователям PyPI рекомендовано включить двухфакторную защиту и добавить резервный проверенный почтовый ящик на стороннем домене, если в профиле используется единственный адрес с кастомным доменом. Это создаёт дополнительный барьер и повышает шансы на сохранность пакетов, от которых зависит безопасность множества сторонних проектов.