Python 软件包索引(PyPI)近日引入了新的安全防护措施,以防御“域名复活攻击”——这种攻击方式可能通过密码重置劫持开发者账户。
作为开源 Python 软件包的官方仓库,PyPI 被广泛应用于软件开发者、项目维护者以及依赖 Python 库、工具和框架的企业。
在 PyPI 上发布软件的维护者账户通常与电子邮箱绑定,而部分邮箱则依赖于特定的域名。
一旦相关域名过期,攻击者即可重新注册该域名,并通过搭建邮件服务器发起密码重置,从而接管受害者在 PyPI 上的项目。
这一风险带来的后果是典型的供应链攻击:被劫持的项目可能被用来投放恶意版本的热门 Python 软件包,而这些软件包在许多情况下会被 pip 工具自动安装,从而造成大范围安全威胁。
2022 年 5 月,曾发生一起典型的“域名复活攻击”案例:攻击者成功入侵了 “ctx” 软件包,并在其中植入恶意代码,专门窃取 Amazon AWS 的密钥和账户凭证。
为应对此类风险,PyPI 现已开始对平台上已验证邮箱所依赖的域名进行检测,以判断其是否已经过期或即将进入过期阶段,并将相关邮箱标记为“未验证”。
在技术实现上,PyPI 使用 Domainr 的 Status API 来判定域名所处的生命周期阶段(如:活跃期、宽限期、赎回期、待删除期),从而决定是否需要对某个账户采取措施。一旦邮箱对应的域名进入这些状态,该邮箱将无法再用于密码重置或账户恢复,即使攻击者重新注册该域名,也无法利用其发起劫持。
这一新措施的研发始于 2025 年 4 月,当时 PyPI 首次开展了试探性扫描,以评估整体风险态势。最终在 2025 年 6 月,平台引入了每日扫描机制。截至目前,已有超过 1,800 个邮箱地址 在新系统下被标记为未验证。
虽然该措施并不能彻底杜绝所有攻击场景,但它显著降低了攻击者通过过期域名接管 PyPI 账户的风险。PyPI 同时建议用户在账户中添加非自定义域的备用邮箱,以避免可能的使用中断,并启用双重身份验证,以进一步增强账户防护能力。
发表评论
您还未登录,请先登录。
登录