2024

安全与安全工程师：第一年回顾

您好，读者！我是 Mike，距离我发布关于加入 PSF担任 Python 包索引 (PyPI) 安全与安全工程师的文章已经过去一年多了。

我想花点时间回顾过去一年，并分享一些我一直在进行的工作。

2024 年 6 月 28 日，security@pypi.org 和我（Ee Durbin）收到了关于我的 GitHub 用户帐户 ewdurbin 的泄露 GitHub 个人访问令牌的通知。该令牌已立即被撤销，并对我的 GitHub 帐户和活动进行了审查。未发现任何恶意活动迹象。

为了应对持续的批量机器人帐户注册问题，Outlook 域名 outlook.com 和 hotmail.com 已被禁止与 PyPI 帐户建立新的关联。这包括新的注册以及添加为额外地址。

从今天开始，PyPI 包维护者可以通过受信任发布从三个额外的提供商发布。

这些提供商加入了现有的 GitHub Actions 发布支持，无需长期密码或 API 令牌，我们去年宣布了这一点，并将受信任发布支持扩展到更多托管提供商。

一个名为 yocolor 的包被上传到 PyPI，旨在协助将恶意软件分发到目标。

该包已从 PyPI 中删除，从而降低了其对用户的潜在影响。

此事件不同于通常的恶意软件包删除，因为它涉及在攻击中使用的域名来托管恶意软件分发的第二阶段。

Checkmarx 安全研究团队已经发布了一篇关于特定行为的深入博客文章，阅读他们的报告以了解其工作原理。

由于 PyPI 仅参与 Checkmarx 所谓的攻击“第一阶段”，因此我将重点关注此处的包删除和域名滥用后续处理。

2024 年 3 月 31 日星期日，PyPI 管理员收到了关于 PyPI 用户意外帐户活动的电子邮件。用户收到了来自 PyPI 的通知，告知他们已注册了双重身份验证 (2FA)。这些用户声称他们自己没有这样做。

PyPI 管理员尚未找到任何证据表明现有包被篡改，或除了未经授权的帐户访问和修改之外的任何其他恶意活动。

调查后采取的主要行动是

继续阅读以了解发生了什么、我们如何应对以及下一步计划。

我们在 2003 年推出了 Python 包索引 (PyPI)，在其历史的大部分时间里，一个强大而专注的志愿者社区一直在维护其运行。最终，我们投入了一些 PSF 人员的时间来维护索引，并且在去年 AWS 的支持下，我们聘请了 Mike Fiedler 全职负责 PyPI 的紧急安全需求。

我们很幸运能拥有一个积极的社区，他们由安全研究人员组成，他们帮助我们确保 Python 包索引 (PyPI) 的安全。

这些人一直帮助我们识别并从索引中删除恶意项目，我们感谢他们持续的支持。

从历史上看，我们要求举报者根据PyPI 安全策略向我们发送电子邮件以举报恶意软件。

PyPI 现在有了更好的举报恶意软件的方式，通过 PyPI 本身。

现在是 2024 年 1 月 1 日，PyPI 现在要求所有用户使用双重身份验证 (2FA)。

这篇文章是为了表彰为实现这一目标而付出的辛勤努力，并感谢所有已在其帐户上启用 2FA 的用户。

它也提醒那些尚未启用 2FA 的人，您需要在执行任何管理操作或将文件上传到 PyPI 之前启用它。

启用 2FA 后，您可以执行管理操作，包括生成API 令牌或设置受信任发布者（首选）以上传文件。