由于钓鱼活动和滥用等 PyPI存储库宣布禁止使用俄罗斯Inbox.ru注册账户
PyPI 存储库宣布禁止使用俄罗斯的 Inbox.ru 邮箱注册账户,因为出现钓鱼活动和滥用等。从 6 月 9 日开始黑客使用该邮箱注册 250 多个账户并发布 1,500 多个项目,这些项目都存在钓鱼和其他潜在的安全威胁。
近期 PyPI 存储库管理员和安全保障工程师宣布对平台账户注册和软件提交实施新政策,具体来说 PyPI 禁止使用来自俄罗斯 Inbox.ru 邮箱注册账户并提交项目。
实施该政策的原因是近期使用 Inbox.ru 注册账户并进行钓鱼活动的情况非常多,这场钓鱼活动创建了 250 多个新账户,在 PyPI 上发布 1,500 多个新项目。
由于钓鱼活动和滥用等 PyPI存储库宣布禁止使用俄罗斯Inbox.ru注册账户
这些新项目里存在冒充其他知名项目、滥用资源以及潜在的安全问题,目前 PyPI 直接将这些使用 Inbox.ru 创建的新账户及其名下的项目全部删除,避免出现潜在的安全问题。
PyPI 使用 Disposable-email-domains 列表来阻止某些临时邮箱进行注册,PyPI 维护自己的内部阻止列表并动态更新,用来响应各类滥用行为并将其阻断。
管理员公布的时间线显示,2025 年 6 月 9 日这次滥用活动创建首个账户并设置 2FA 和 API,6 月 11 日在 3 小时内创建 46 个账户,6 月 24 日在 4 小时内创建 207 个账户。
而从 2025 年 6 月 26 日~7 月 11 日这些账户合计发布的项目高达 1,525 个,这些项目使用各种名称创建并且内部没有代码,PyPI 管理员认为这是黑客准备发起攻击的前兆。
值得注意的是 PyPI 管理员在 7 月 8 日收到开发者报告,这名开发者使用 Claude Sonnet 4 进行开发时 AI 提示要安装名为 Slopsquatting 的项目,但这个项目根本不存在。
可以看出来 AI 是有能力检索 PyPI 平台上的所有项目并根据描述给出建议,但 AI 无法判断项目是否存在危害或者是否是冒名的,所以各位使用 AI 开发时也应当谨慎。
实施该政策的原因是近期使用 Inbox.ru 注册账户并进行钓鱼活动的情况非常多,这场钓鱼活动创建了 250 多个新账户,在 PyPI 上发布 1,500 多个新项目。
由于钓鱼活动和滥用等 PyPI存储库宣布禁止使用俄罗斯Inbox.ru注册账户
这些新项目里存在冒充其他知名项目、滥用资源以及潜在的安全问题,目前 PyPI 直接将这些使用 Inbox.ru 创建的新账户及其名下的项目全部删除,避免出现潜在的安全问题。
PyPI 使用 Disposable-email-domains 列表来阻止某些临时邮箱进行注册,PyPI 维护自己的内部阻止列表并动态更新,用来响应各类滥用行为并将其阻断。
管理员公布的时间线显示,2025 年 6 月 9 日这次滥用活动创建首个账户并设置 2FA 和 API,6 月 11 日在 3 小时内创建 46 个账户,6 月 24 日在 4 小时内创建 207 个账户。
而从 2025 年 6 月 26 日~7 月 11 日这些账户合计发布的项目高达 1,525 个,这些项目使用各种名称创建并且内部没有代码,PyPI 管理员认为这是黑客准备发起攻击的前兆。
值得注意的是 PyPI 管理员在 7 月 8 日收到开发者报告,这名开发者使用 Claude Sonnet 4 进行开发时 AI 提示要安装名为 Slopsquatting 的项目,但这个项目根本不存在。
可以看出来 AI 是有能力检索 PyPI 平台上的所有项目并根据描述给出建议,但 AI 无法判断项目是否存在危害或者是否是冒名的,所以各位使用 AI 开发时也应当谨慎。
关于作者
评论0次