أعلن القائمون على مستودع Python Package Index (PyPI) عن تحديث جديد يهدف إلى تعزيز أمان الحسابات عبر التحقق من النطاقات المنتهية الصلاحية، في خطوة تهدف إلى الحد من الهجمات التي تستهدف سلسلة التوريد.
مواجهة هجمات “إحياء النطاقات”
أوضح مايك فيدلر، مهندس الأمان في مؤسسة Python Software Foundation (PSF)، أن هذه التغييرات تعزز من وضعية الأمان العامة لحسابات PyPI، وتجعل من الصعب على المهاجمين استغلال النطاقات المنتهية لاختراق الحسابات.
وتستهدف الخطوة بشكل خاص هجمات “إحياء النطاقات”، حيث يقوم المهاجمون بشراء نطاقات انتهت صلاحيتها مسبقًا ثم استخدامها للاستيلاء على الحسابات عبر إعادة تعيين كلمات المرور. ووفقًا لـ PyPI، تم إلغاء التحقق من أكثر من 1800 بريد إلكتروني منذ يونيو 2025 فور دخول نطاقاتها مرحلة انتهاء الصلاحية، مما ساعد في سد ثغرة خطيرة قد تُستخدم لهجمات يصعب اكتشافها.
مخاطر النطاقات المنتهية على سلاسل التوريد
ترتبط عناوين البريد الإلكتروني مباشرة بالنطاقات التي قد تفقد صلاحيتها إذا لم يتم تجديدها، وهو ما يشكل خطورة كبيرة على حزم البرمجيات مفتوحة المصدر. وتزداد خطورة الأمر عندما تكون بعض الحزم قد تم التخلي عنها من قبل مطوريها الأصليين، لكنها لا تزال مستخدمة من قبل آلاف المطورين الآخرين.
ويُلزم PyPI المستخدمين بالتحقق من صحة بريدهم الإلكتروني أثناء التسجيل لضمان أن العنوان صالح ويمكن الوصول إليه، لكن هذا الإجراء يصبح عديم الجدوى في حال انتهاء صلاحية النطاق، إذ يمكن للمهاجم شراء النطاق واستقبال طلبات إعادة تعيين كلمات المرور والوصول إلى الحساب.
حادثة ctx والتحذيرات الأمنية
ظهرت خطورة هذه الثغرة لأول مرة عام 2022، حين استغل مهاجم مجهول انتهاء صلاحية النطاق المرتبط بحزمة ctx على PyPI ليستولي على الحساب وينشر نسخًا خبيثة داخل المستودع. ومن هنا جاء التحديث الأخير الذي يهدف إلى تقليل احتمالات الاستيلاء على الحسابات، حتى في حالة تفعيل ميزة التحقق الثنائي (2FA). وتجدر الإشارة إلى أن هذه الهجمات تستهدف فقط الحسابات المسجلة باستخدام نطاقات بريد إلكتروني مخصصة، وليست تلك التي تعتمد على خدمات شائعة مثل Gmail أو Outlook.
آلية الحماية الجديدة وتوصيات للمستخدمين
يعتمد PyPI في التحديث الأخير على واجهة Fastly’s Status API لمراجعة حالة النطاق كل 30 يومًا، وإذا تبين أن النطاق قد انتهت صلاحيته يتم وسم البريد الإلكتروني المرتبط به كغير موثّق.
كما نصحت المنصة جميع مستخدميها بضرورة تفعيل ميزة التحقق الثنائي (2FA) وإضافة بريد إلكتروني ثانٍ موثّق من نطاقات عامة موثوقة مثل Gmail أو Outlook، خصوصًا إذا كان الحساب يعتمد على بريد واحد فقط من نطاق مخصص.
