O Python Package Index (PyPI), o repositório oficial para pacotes Python de código aberto, implementou novas medidas de proteção para combater um tipo de ciberataque que permitia o sequestro de contas através do registo de domínios expirados. Esta atualização é crucial para a segurança da cadeia de abastecimento de software, protegendo programadores e empresas que dependem de bibliotecas, ferramentas e frameworks Python.
Um perigoso esquema de sequestro de contas
As contas dos programadores que publicam software no PyPI estão associadas a endereços de email. Em alguns casos, estes emails estão ligados a nomes de domínio personalizados. A vulnerabilidade, conhecida como "ataque de ressurreição de domínio", ocorria quando um destes domínios expirava. Um atacante podia simplesmente registar o domínio caducado, configurar um servidor de email e solicitar a reposição da palavra-passe da conta PyPI associada, tomando assim o controlo total do projeto.
O risco associado a este método é elevado, abrindo a porta a ataques na cadeia de abastecimento de software (supply-chain attack). Um projeto sequestrado pode ser usado para distribuir versões maliciosas de pacotes Python populares, que em muitos casos seriam instalados automaticamente pelos utilizadores através do gestor de pacotes pip. Um caso notório deste tipo de ataque foi o do pacote ‘ctx’ em maio de 2022, onde um agente malicioso adicionou código para roubar chaves da Amazon AWS e outras credenciais de contas.
A nova barreira de proteção do PyPI
Para mitigar este risco, o PyPI passou a verificar ativamente se os domínios dos emails verificados na plataforma expiraram ou estão prestes a expirar. De acordo com o blog oficial, esta verificação é feita através da API Status do Domainr, que consegue determinar o estado do ciclo de vida de um domínio (ativo, período de carência, período de redenção, etc.).
Quando um domínio entra numa fase de expiração, o endereço de email associado é automaticamente marcado como "não verificado". Esta ação impede que o email seja utilizado para pedidos de reposição de palavra-passe ou outras formas de recuperação de conta, fechando a janela de oportunidade para os atacantes, mesmo que estes consigam registar o domínio.
As novas medidas começaram a ser desenvolvidas em abril e foram implementadas em junho de 2025, com verificações diárias. Desde então, mais de 1.800 endereços de email já foram marcados como não verificados ao abrigo deste novo sistema.
Como proteger a sua conta PyPI
Embora esta nova funcionalidade represente um avanço significativo na segurança da plataforma, o PyPI recomenda que os utilizadores adotem medidas adicionais para proteger as suas contas.
É aconselhável adicionar um email de backup de um domínio não personalizado (como Gmail, Outlook, etc.) para evitar problemas de acesso. Além disso, a ativação da autenticação de dois fatores (2FA) continua a ser a forma mais robusta de proteção contra o sequestro de contas.
Nenhum comentário
Seja o primeiro!