PyPI, la piattaforma ufficiale per il registro di pacchetti Python open source, ha sospeso temporaneamente la registrazione di nuovi utenti e il caricamento di nuovi progetti fino a nuovo avviso. La decisione inaspettata è la diretta conseguenza della lotta della piattaforma per far fronte ad un grande afflusso di utenti e pacchetti maligni.
Sospensione temporanea delle registrazioni e dei nuovi progetti su PyPI
Dall’oggi al domani, l’indice dei pacchetti Python, meglio noto come PyPI, ha sospeso temporaneamente le registrazioni di nuovi utenti e la creazione di nuovi progetti. “La registrazione di nuovi utenti e nuovi nomi di progetti su PyPI è temporaneamente sospesa”, si legge in un avviso di incidente pubblicato dagli amministratori di PyPI il 20 Maggio. “Il volume di utenti maligni e di progetti maligni creati nell’indice nella scorsa settimana ha superato la nostra capacità di rispondere in modo tempestivo, soprattutto con diversi amministratori di PyPI in congedo”.
Nonostante gli amministratori del registro non abbiano rivelato i colpevoli esatti (attori e nomi di progetti maligni) che li hanno portati a congelare le nuove registrazioni sulla piattaforma, la mossa preventiva dovrebbe allontanare gli avversari fino a quando non si troverà una soluzione più permanente. “Mentre ci riorganizziamo durante il fine settimana, la registrazione di nuovi utenti e nuovi progetti è temporaneamente sospesa.”
Come altri registri open source, PyPI non è estranea all’abuso da parte di avversari che cercano di distribuire malware. A Marzo 2023, un pacchetto maligno PyPI di nome colourfool è stato scoperto mentre distribuiva un malware chiamato ‘Color-Blind’ da parte della società di consulenza di rischio, Kroll. Lo stesso mese, i pacchetti PyPI ‘microsoft-helper’ e ‘reverse-shell’, identificati da Sonatype, sono stati scoperti mentre rilasciavano info-stealer che abusavano di Discord per esfiltrare segreti.
La mossa di oggi degli amministratori di PyPI non dovrebbe influire sui manutentori esistenti dei pacchetti Python disponibili sul registro dalla pubblicazione di versioni più recenti dei loro artefatti.