Los mantenedores del repositorio de Python Package Index (PYPI) han anunciado que el Administrador de paquetes ahora verifica los dominios caducados para evitar ataques de la prisión de suministro.
“Estos cambios mejoran la postura genérico de seguridad de las cuentas de PYPI, lo que dificulta que los atacantes exploten los nombres de dominio vencidos para obtener ataque no facultado a las cuentas”, dijo Mike Fiedler, ingeniero de seguridad de PYPI de la Python Software Foundation (PSF).
Con la última aggiornamento, la intención es acometer los ataques de resurrección de dominio, que ocurren cuando los malos actores compran un dominio caducado y lo usan para tomar el control de las cuentas PYPI a través de reinicios de contraseña.
Pypi dijo que no ha verificado más de 1.800 direcciones de correo electrónico desde principios de junio de 2025, tan pronto como sus dominios asociados ingresaron fases de vencimiento. Si acertadamente esta no es una alternativa infalible, ayuda a conectar un vector de ataque de prisión de suministro significativo que de otro modo parecería razonable y difícil de detectar, agregó.
Las direcciones de correo electrónico están vinculadas a los nombres de dominio que, a su vez, pueden caducar, si no se pagan, un aventura crítico de paquetes distribuidos a través de registros de código campechano. La amenaza se magnifica si esos paquetes han sido abandonados por sus respectivos mantenedores, pero todavía están en una buena cantidad de uso por parte de los desarrolladores posteriores.
Los usuarios de PYPI deben corroborar sus direcciones de correo electrónico durante la período de registro de la cuenta, asegurando así que las direcciones proporcionadas sean válidas y accesibles para ellas. Pero esta capa de defensa se neutraliza efectivamente si el dominio expire, lo que permite a un atacante comprar el mismo dominio e iniciar una solicitud de restablecimiento de contraseña, que aterrizaría en su bandeja de entrada (a diferencia del propietario positivo del paquete).
A partir de ahí, todo lo que el actor de amenaza tiene que hacer es seguir los pasos para obtener ataque a la cuenta con ese nombre de dominio. La amenaza planteada por los dominios caducados surgió en 2022, cuando un atacante desconocido adquirió el dominio utilizado por el mantenedor del paquete CTX Pypi para obtener ataque a la cuenta y propagar versiones deshonestas en el repositorio.
La última visa agregada por PYPI tiene como objetivo evitar este tipo de ambiente de adquisición de cuentas (ATO) y “minimizar la exposición potencial si un dominio de correo electrónico expira y cambia de manos, independientemente de si la cuenta tiene 2FA habilitada”. Vale la pena señalar que los ataques solo son aplicables a las cuentas que se han registrado utilizando direcciones de correo electrónico con un nombre de dominio personalizado.
Pypi dijo que está utilizando la API de estado de Fastly para consultar el estado de un dominio cada 30 días y marcar la dirección de correo electrónico correspondiente como no verificada si ha expirado.
Se recomienda a los usuarios del Python Package Manager que habiliten la autenticación de dos factores (2FA) y agregue una segunda dirección de correo electrónico verificada de otro dominio trascendente, como Gmail o Outlook, si las cuentas solo tienen una sola dirección de correo electrónico verificada desde un nombre de dominio personalizado.
