PyPI запровадив новий захист від атак через «відновлення доменів», які дозволяли викрадати акаунти розробників і використовувати їх для поширення шкідливих пакетів.
Акаунти розробників у PyPI прив’язані до email-адрес, які часто базуються на власних доменах. Якщо домен втрачав чинність, зловмисники могли зареєструвати його повторно, підняти поштовий сервер і ініціювати скидання пароля, отримуючи контроль над акаунтом. Це відкривало шлях до supply chain-атак, коли популярні пакети замінювалися на шкідливі версії. Тепер PyPI автоматично перевіряє статус доменів через Domainr’s Status API (active, grace, redemption, pending deletion) і маркує email-и з прострочених доменів як «непідтверджені». Такі адреси не можна використати для відновлення доступу. Від червня 2025 року щоденні скани виявили понад 1 800 проблемних адрес, які вже відключені від функцій відновлення.
Проблема стала помітною після атак на Python-пакети, як-от «ctx» у 2022 році, коли хакери додали код для викрадення AWS-ключів. Подібні інциденти підтвердили вразливість екосистеми open-source, де навіть один скомпрометований акаунт може запустити масштабну хвилю заражень. Supply chain-атаки через npm, RubyGems чи PyPI останні роки суттєво зросли, а інфраструктура відкритих бібліотек стала ключовою ціллю.
Новий захист PyPI не є універсальним, але суттєво зменшує ризики викрадення акаунтів через відновлені домени. Платформа радить розробникам додавати резервні email-и з надійних публічних доменів і обов’язково вмикати двофакторну автентифікацію. Це крок до безпечнішої екосистеми Python, але повна безпека залежить від дисципліни користувачів.
