Chỉ số Gói Python (PyPI) đã áp dụng một lệnh cấm quản trị đối với tên miền email inbox.ru, nghiêm cấm việc sử dụng tên miền này cho các đăng ký người dùng mới và làm địa chỉ xác minh bổ sung. Hành động này xuất phát từ một chiến dịch gần đây đã khai thác tên miền này để tạo ra hơn 250 tài khoản giả mạo, từ đó tải lên hơn 1.500 dự án trống rỗng.
Các gói giả mạo này đã gây ra sự nhầm lẫn rộng rãi cho người dùng cuối, làm căng thẳng tài nguyên của PyPI và làm dấy lên báo động về các lỗ hổng bảo mật tiềm ẩn. Các quản trị viên PyPI đã nhanh chóng phản ứng bằng cách xóa tất cả các dự án liên quan khỏi kho lưu trữ và vô hiệu hóa các tài khoản liên kết, nhấn mạnh cam kết của nền tảng trong việc duy trì tính toàn vẹn trong hệ sinh thái Python mã nguồn mở.
Phân Tích Chiến Dịch Tấn Công
Sự cố này làm nổi bật mô hình bảo mật được ủy quyền vốn có trong quy trình đăng ký của PyPI, nơi người dùng có thể sử dụng bất kỳ địa chỉ email hợp lệ nào, từ đó dựa vào cơ chế xác thực của nhà cung cấp email. Để giảm thiểu rủi ro từ các tác nhân tạm thời hoặc độc hại, PyPI sử dụng danh sách disposable-email-domains để cấm đăng ký từ các dịch vụ email dùng một lần đã biết, được bổ sung bởi danh sách chặn nội bộ do các quản trị viên quản lý dựa trên các mẫu lạm dụng được quan sát.
Đây không phải là một biện pháp riêng lẻ; một trường hợp trước đó liên quan đến việc hạn chế một nhà cung cấp email nổi bật sau các cuộc khai thác tương tự, như đã được trình bày chi tiết trong các thông báo trước đây. Lệnh cấm inbox.ru đóng vai trò là một sự leo thang có mục tiêu, nhằm ngăn chặn việc lạm dụng tên miền này trong các tập lệnh tạo tài khoản tự động có thể tạo điều kiện cho các cuộc tấn công typosquatting hoặc các thực tiễn lừa đảo khác.
Diễn Biến và Chiến Thuật Khai Thác
Chiến dịch đã diễn ra một cách có hệ thống với việc tạo và xác minh một tài khoản người dùng ban đầu, hoàn chỉnh với thiết lập xác thực hai yếu tố (2FA) và cấp mã thông báo API, cho thấy một nỗ lực được lên kế hoạch trước để thiết lập quyền truy cập liên tục. Sau đó là các đợt hoạt động đột biến:
- 46 tài khoản vào ngày 11 tháng 6 trong hơn ba giờ.
- 207 tài khoản vào ngày 24 tháng 6 trong vòng bốn giờ.
Việc tải lên dự án bắt đầu vào ngày 26 tháng 6, leo thang nhanh chóng với các đỉnh điểm là 295 gói vào ngày 27 tháng 6 và 740 gói vào ngày 30 tháng 6, đạt tổng cộng 1.525 gói vào ngày 11 tháng 7. Các dự án này không có mã chức năng, cho thấy chúng là các chỗ giữ chỗ được thiết kế để khai thác không gian tên của PyPI, có khả năng chiếm đoạt các điểm truy cập phổ biến như giao diện dòng lệnh (CLI) mà không yêu cầu khớp với tên chuẩn của dự án.
Mẫu hình này phù hợp với một cuộc trinh sát hoặc “chạy thử” cho các cuộc tấn công quy mô lớn hơn, nơi kẻ tấn công xác nhận khả năng mở rộng trước khi triển khai phần mềm độc hại hoặc tham gia vào slopsquatting, một biến thể của typosquatting trong đó các lỗi chính tả nhỏ đánh lừa người dùng.
Phản Ứng của PyPI và Khuyến Nghị Người Dùng
PyPI lần đầu tiên được cảnh báo vào ngày 8 tháng 7 năm 2025, thông qua một báo cáo của người dùng liên quan đến một mô hình ngôn ngữ lớn (Claude 3.5 Sonnet) đã đề xuất sai việc cài đặt một gói không tồn tại, minh họa những rủi ro của lời khuyên không được xác minh từ các hệ thống AI hoặc nguồn trực tuyến.
Chỉ Dẫn Bảo Mật Dành Cho Người Dùng
Người dùng được khuyến nghị kiểm tra kỹ lưỡng tên gói trước khi cài đặt, tránh sao chép-dán mù quáng có thể dẫn đến sự nhầm lẫn phụ thuộc (dependency confusion) hoặc các thỏa hiệp chuỗi cung ứng (supply chain compromises). Để giảm thiểu rủi ro, người dùng nên:
- Luôn xác minh tính chính xác của tên gói và nguồn gốc của chúng trước khi thực hiện lệnh cài đặt.
- Ưu tiên cài đặt từ các kênh chính thức hoặc các nhà cung cấp đáng tin cậy.
- Thận trọng với các khuyến nghị cài đặt từ các nguồn không xác định hoặc không đáng tin cậy, đặc biệt là từ các công cụ AI nếu chúng không được xác minh chéo.
- Thường xuyên cập nhật các gói đã cài đặt để đảm bảo sử dụng các phiên bản an toàn nhất.
Bảo Vệ Hệ Sinh Thái Gói Python
Với vai trò là trung tâm chính của Python cho hơn 500.000 dự án, việc duy trì độ tin cậy của PyPI là tối quan trọng đối với cộng đồng nhà phát triển toàn cầu. Sự cố này củng cố các mối đe dọa đang phát triển đối với các kho chứa gói, nơi kẻ thù khai thác các công cụ tự động để tạo tài khoản hàng loạt và làm ô nhiễm không gian tên.
Lập trường chủ động của PyPI, bao gồm giám sát theo thời gian thực và báo cáo dựa trên cộng đồng, minh họa các phương pháp hay nhất trong quản trị kho lưu trữ. Tuy nhiên, nó cũng kêu gọi nâng cao cảnh giác của người dùng và có thể là các cơ chế phát hiện tiên tiến hơn như nhận dạng bất thường dựa trên học máy (machine learning-based anomaly identification) để ngăn chặn các cuộc xâm nhập trong tương lai.
Chỉ Số IOC (Indicators of Compromise)
- Tên miền email bị chặn:
inbox.ru - Thời gian hoạt động tạo tài khoản cao điểm: Ngày 11 tháng 6 và 24 tháng 6.
- Thời gian hoạt động tải dự án cao điểm: Ngày 27 tháng 6 và 30 tháng 6.
- Tổng số gói giả mạo được tải lên: 1.525 gói (tính đến ngày 11 tháng 7).
