Los mantenedores del repositorio del índice de paquetes de Python (PYPI) han anunciado que los administradores de paquetes ahora verifican los dominios caducados para evitar ataques de la cadena de suministro.
«Estos cambios mejorarán la actitud general de seguridad de la cuenta de PYPI y dificultarán que los atacantes aprovechen los nombres de dominio vencidos para obtener acceso no autorizado a sus cuentas», dijo Mike Fiedler, ingeniero de seguridad de PYPI de Python Software Foundation (PSF).
La última actualización está destinada a abordar un ataque de renacimiento de dominio. Esto sucede cuando un mal actor compra un dominio caducado y lo usa para controlar la cuenta PYPI a través del reinicio de contraseña.
Pypi dijo que no ha confirmado más de 1.800 direcciones de correo electrónico desde principios de junio de 2025 tan pronto como el dominio asociado ingresa a la fase de vencimiento. Esta no es una solución infalible, pero puede ayudar a bloquear importantes vectores de ataque de la cadena de suministro que de otro modo serían legales y difíciles de detectar.
Las direcciones de correo electrónico están vinculadas a los nombres de dominio y, a su vez, la izquierda no pagada puede dejar un riesgo significativo para los paquetes distribuidos a través del registro de código abierto. Si sus respectivos mantenedores han abandonado estos paquetes durante mucho tiempo, pero los desarrolladores aguas abajo aún están en un uso considerable, la amenaza se magnifica.
Los usuarios de PYPI deben verificar su dirección de correo electrónico durante la fase de registro de la cuenta. Por lo tanto, asegúrese de que la dirección proporcionada sea válida y accesible. Sin embargo, esta capa de defensa se neutraliza efectivamente si el dominio expira, lo que permite que un atacante compre el mismo dominio e inicie una solicitud de restablecimiento de contraseña.
A partir de ahí, todo lo que un actor de amenaza tiene que hacer es seguir los pasos para acceder a la cuenta bajo ese nombre de dominio. La amenaza que representa un dominio expirado ocurrió en 2022. Esto sucedió cuando un atacante desconocido recuperó el dominio utilizado por el mantenedor del paquete CTX Pypi, accedió a la cuenta y publicó la versión Rogue al repositorio.
Tenga en cuenta que las últimas salvaguardas agregadas por PYPI tienen como objetivo evitar este tipo de escenario de adquisición de cuentas (ATO) y «Nuestro objetivo es minimizar la exposición potencial si su dominio de correo electrónico expira y cambia las manos, independientemente de si su cuenta tiene 2FA habilitada o no». Los ataques solo se pueden aplicar a cuentas registradas utilizando direcciones de correo electrónico con nombres de dominio personalizados.
Pypi dijo que utiliza la API de estado de Fastly para consultar el estado de un dominio cada 30 días y marcar la dirección de correo electrónico correspondiente cuando expire.
Se recomienda a los usuarios de Python Package Manager para habilitar la autenticación de dos factores (2FA) y agregar una segunda dirección de correo electrónico verificada de otro dominio notable, como Gmail o Outlook.
Source link
