PyPI , iaitu Python Package Index , telah mengharamkan pendaftaran baharu menggunakan alamat e-mel inbox.ru berikutan kempen spam yang diselaraskan yang mencipta lebih 250 akaun palsu dan menerbitkan lebih daripada 1,500 pakej berniat jahat. Serangan ini, yang berlaku selama beberapa minggu pada pertengahan 2025, mewakili salah satu insiden penyalahgunaan repositori pakej terbesar dalam ingatan baru-baru ini.
Kempen ini bermula secara senyap pada 9 Jun 2025, dengan penciptaan akaun pengguna tunggal. Walau bagaimanapun, ia dengan cepat meningkat dengan 46 lagi akaun dicipta dalam masa hanya tiga jam pada 11 Jun, diikuti dengan lonjakan besar-besaran sebanyak 207 akaun dalam empat jam pada 24 Jun. Penyerang kemudiannya mengalihkan tumpuan kepada penciptaan pakej, membanjiri PyPI dengan pakej palsu antara 26 Jun dan 11 Julai.
Garis Masa dan Skala Serangan:
- 9 Jun 2025: Akaun berniat jahat pertama dicipta
- 11 Jun 2025: 46 akaun dicipta dalam 3 jam
- 24 Jun 2025: 207 akaun dicipta dalam 4 jam
- 26 Jun - 11 Julai 2025: 1,525 pakej palsu diterbitkan
- Hari puncak: 30 Jun dengan 740 pakej diterbitkan
- Jumlah kesan: 250+ akaun, 1,500+ pakej berniat jahat
Penyekatan Domain: Penyelesaian Sementara?
Respons komuniti terhadap pendekatan penyekatan domain PyPI adalah bercampur-campur, dengan ramai yang mempersoalkan keberkesanannya dalam jangka panjang. Pengkritik menunjukkan bahawa strategi ini hanya menghalang penyerang yang paling amateur, kerana akaun e-mel daripada penyedia utama seperti Gmail dan Outlook boleh dibeli secara pukal dengan harga serendah 0.50 dolar Amerika setiap satu melalui pelbagai pasaran dalam talian.
Menyekat domain hanya menunjukkan sistem anda rapuh dan berkemungkinan hanya akan mengalihkan penyerang untuk menggunakan domain lain.
Penyekatan inbox.ru , yang dikendalikan oleh Mail.Ru ( penyedia e-mel percuma terbesar Rusia ), telah menimbulkan kebimbangan mengenai kerosakan sampingan kepada pengguna yang sah. Ini menandakan kali kedua PyPI menyekat penyedia e-mel utama, berikutan larangan serupa ke atas domain Outlook Microsoft pada 2024.
Harga Akaun E-mel di Pasaran Gelap:
- Akaun Google : $0.50 USD setiap satu
- Akaun e-mel pukal: 25-100+ akaun dengan harga $1 USD
- Penciptaan akaun manual: ~36 akaun sejam (berdasarkan corak serangan)
Kebangkitan Slopsquatting
Serangan ini memperkenalkan vektor ancaman baharu yang dipanggil slopsquatting - di mana pakej berniat jahat dicipta dengan nama yang mungkin disyorkan secara salah oleh model bahasa AI kepada pengguna. Seorang pengguna PyPI mula-mula melaporkan isu tersebut selepas bekerja dengan model AI yang mencadangkan pemasangan pakej yang tidak wujud, menyerlahkan bagaimana alat kecerdasan buatan boleh secara tidak sengaja menjadi vektor serangan.
Pakej palsu tersebut tidak mengandungi perisian hasad sebenar tetapi berpotensi merampas titik masuk projek popular, mewujudkan kekeliruan dan risiko keselamatan untuk pembangun yang mungkin secara tidak sengaja memasangnya sebagai ganti pakej yang sah.
Kekangan Sumber Mendorong Langkah Reaktif
Perbincangan komuniti mendedahkan bahawa pendekatan reaktif PyPI berpunca sebahagian besarnya daripada had sumber. Platform ini beroperasi dengan sumber manusia yang sangat terhad dan bergantung banyak kepada infrastruktur yang didermakan daripada syarikat seperti Fastly . Cadangan untuk semakan pakej manual - serupa dengan proses pengesahan Maven Central - menghadapi realiti bahawa PyPI hanya kekurangan kakitangan untuk melaksanakan langkah sedemikian.
Skala masalah menjadi jelas apabila mempertimbangkan bahawa mana-mana penyerang yang bertekad boleh dengan mudah bertukar antara penyedia e-mel, memaksa PyPI ke dalam permainan whack-a-mole yang tidak berkesudahan. Sesetengah ahli komuniti berhujah bahawa kaedah pengesanan yang lebih canggih, seperti analisis corak penciptaan akaun dan tingkah laku penerbitan, boleh memberikan perlindungan yang lebih baik tanpa menyekat pengguna yang sah.
Persoalan Lebih Luas Mengenai Keselamatan Repositori Pakej
Insiden ini telah mencetuskan semula perdebatan mengenai model keselamatan asas repositori pakej terbuka. Tidak seperti pengedaran Linux , yang biasanya melibatkan pemeriksaan komuniti dan pengawasan penyelenggara, platform seperti PyPI dan NPM membenarkan sesiapa sahaja menerbitkan pakej dengan halangan yang minimum.
Sifat manual serangan ini - dengan akaun dicipta selama beberapa jam berbanding melalui skrip automatik - menunjukkan bahawa walaupun penyalahgunaan yang didorong manusia boleh mengatasi langkah keselamatan semasa. Ini telah menyebabkan sesetengah pihak mempersoalkan sama ada model terbitkan apa-apa sahaja, bila-bila masa boleh bertahan dalam era serangan rantaian bekalan yang semakin canggih.
Sementara PyPI terus memerangi penyalahgunaan melalui penyekatan domain, insiden ini berfungsi sebagai peringatan bahawa mengamankan ekosistem pakej sumber terbuka memerlukan keseimbangan antara kebolehcapaian dengan keselamatan - cabaran yang mempengaruhi berjuta-juta pembangun di seluruh dunia.