Halaman

    Social Items

Visit WPN

 


Python Package Index (PyPI) memperkenalkan sistem perlindungan baru untuk mencegah serangan domain resurrection, metode yang memungkinkan peretas membajak akun melalui fitur pengaturan ulang kata sandi.


Sebagai repositori resmi paket Python sumber terbuka, PyPI banyak digunakan pengembang, pengelola produk, hingga perusahaan yang bekerja dengan pustaka, alat, dan framework Python. Setiap akun penerbit proyek di PyPI ditautkan ke alamat email, yang pada sebagian kasus bergantung pada domain tertentu.


Masalah muncul ketika domain tersebut kedaluwarsa. Penyerang bisa mendaftarkan ulang domain, membuat server email, lalu meminta reset kata sandi untuk mengambil alih akun. Jika berhasil, proyek yang dibajak berpotensi mendorong versi berbahaya dari paket Python populer, yang sering kali diinstal otomatis melalui pip. Contoh kasus nyata terjadi pada Mei 2022, ketika paket ctx disusupi kode berbahaya yang mencuri kredensial AWS.


Untuk menutup celah itu, PyPI kini secara otomatis memeriksa status domain email terverifikasi menggunakan Domainr Status API. Sistem ini mendeteksi tahap siklus hidup domain—aktif, masa tenggang, penebusan, atau penghapusan tertunda—dan menandai email dari domain yang sudah atau hampir kedaluwarsa sebagai tidak terverifikasi. Email semacam itu tidak lagi dapat digunakan untuk reset kata sandi maupun pemulihan akun, sehingga mencegah eksploitasi bahkan jika domain direbut kembali oleh penyerang.


Pengembangan mekanisme ini dimulai April lalu dengan pemindaian percobaan, lalu resmi diterapkan pada Juni 2025 dengan pemindaian harian. Hasilnya, lebih dari 1.800 alamat email telah dicabut status verifikasinya.


Meski tidak bisa menutup seluruh skenario serangan, langkah baru ini secara signifikan mengurangi risiko pengambilalihan akun di PyPI. Pihak platform juga menyarankan pengguna menambahkan email cadangan dari domain non-kustom serta mengaktifkan autentikasi dua faktor untuk lapisan keamanan ekstra.

PyPI Perkenalkan Proteksi Baru Lawan Serangan Domain Resurrection

 


Python Package Index (PyPI) memperkenalkan sistem perlindungan baru untuk mencegah serangan domain resurrection, metode yang memungkinkan peretas membajak akun melalui fitur pengaturan ulang kata sandi.


Sebagai repositori resmi paket Python sumber terbuka, PyPI banyak digunakan pengembang, pengelola produk, hingga perusahaan yang bekerja dengan pustaka, alat, dan framework Python. Setiap akun penerbit proyek di PyPI ditautkan ke alamat email, yang pada sebagian kasus bergantung pada domain tertentu.


Masalah muncul ketika domain tersebut kedaluwarsa. Penyerang bisa mendaftarkan ulang domain, membuat server email, lalu meminta reset kata sandi untuk mengambil alih akun. Jika berhasil, proyek yang dibajak berpotensi mendorong versi berbahaya dari paket Python populer, yang sering kali diinstal otomatis melalui pip. Contoh kasus nyata terjadi pada Mei 2022, ketika paket ctx disusupi kode berbahaya yang mencuri kredensial AWS.


Untuk menutup celah itu, PyPI kini secara otomatis memeriksa status domain email terverifikasi menggunakan Domainr Status API. Sistem ini mendeteksi tahap siklus hidup domain—aktif, masa tenggang, penebusan, atau penghapusan tertunda—dan menandai email dari domain yang sudah atau hampir kedaluwarsa sebagai tidak terverifikasi. Email semacam itu tidak lagi dapat digunakan untuk reset kata sandi maupun pemulihan akun, sehingga mencegah eksploitasi bahkan jika domain direbut kembali oleh penyerang.


Pengembangan mekanisme ini dimulai April lalu dengan pemindaian percobaan, lalu resmi diterapkan pada Juni 2025 dengan pemindaian harian. Hasilnya, lebih dari 1.800 alamat email telah dicabut status verifikasinya.


Meski tidak bisa menutup seluruh skenario serangan, langkah baru ini secara signifikan mengurangi risiko pengambilalihan akun di PyPI. Pihak platform juga menyarankan pengguna menambahkan email cadangan dari domain non-kustom serta mengaktifkan autentikasi dua faktor untuk lapisan keamanan ekstra.

Security
Comments
0 Comments

No comments

Subscribe to: Post Comments (Atom)