PyPI chặn các cuộc tấn công chiếm đoạt tài khoản dựa trên việc khôi phục tên miền

Tài khoản của người quản lý project xuất bản phần mềm trên PyPI được liên kết với địa chỉ email. Trong một số project, địa chỉ email được liên kết với tên miền. Trong trường hợp tên miền hết hạn, kẻ tấn công có thể đăng ký và sử dụng tên miền đó để kiểm soát một project trên PyPI, sau khi thiết lập máy chủ email và gửi yêu cầu đặt lại mật khẩu cho tài khoản.

Rủi ro từ việc này là một cuộc tấn công chuỗi cung ứng, trong đó các project bị chiếm quyền điều khiển sẽ đẩy các phiên bản độc hại của các gói Python phổ biến, trong nhiều trường hợp sẽ được cài đặt tự động bằng pip.

Một trường hợp đáng chú ý của cuộc tấn công như vậy là vụ xâm phạm gói “ctx” vào tháng 5/2022, khi kẻ tấn công chèn code độc hại nhắm mục tiêu vào khóa Amazon AWS và thông tin đăng nhập tài khoản.

Để giải quyết vấn đề này, PyPI hiện kiểm tra xem tên miền của các địa chỉ email đã được xác minh trên nền tảng đã hết hạn, hay đang trong giai đoạn hết hạn và đánh dấu các địa chỉ đó là chưa được xác minh.

Về mặt kỹ thuật, PyPI sử dụng API trạng thái tên miền để xác định giai đoạn vòng đời của tên miền để quyết định xem có cần thực hiện hành động nào đó trên một tài khoản nhất định hay không. Khi địa chỉ email chuyển sang các trạng thái đó, chúng không thể được sử dụng để đặt lại mật khẩu hoặc thực hiện các hành động khôi phục tài khoản khác, do đó sẽ không còn cơ hội để khai thác ngay cả khi kẻ tấn công đăng ký tên miền.

Mặc dù không hoàn toàn an toàn hoặc chưa đủ hiệu quả để chống lại mọi tình huống tấn công, tuy nhiên các biện pháp mới giúp giảm đáng kể nguy cơ kẻ tấn công chiếm đoạt tài khoản PyPI thông qua việc khai thác các tên miền đã hết hạn.

PyPI khuyến nghị người dùng thêm email dự phòng từ tên miền không tùy chỉnh vào tài khoản của họ, để tránh gián đoạn và bật xác thực hai yếu tố trên tài khoản PyPI để bảo vệ mạnh mẽ hơn trước mối đe dọa chiếm đoạt tài khoản.