PyPI tạm thời dừng đăng ký dự án và người dùng mới trong khi xử lý những người dùng và package độc hại

PyPI, cơ quan đăng ký bên thứ ba chính thức của các gói (package) Python nguồn mở đã tạm thời đình chỉ người dùng mới đăng ký cũng như không cho phép các dự án mới được tải lên nền tảng cho đến khi có thông báo mới.

Động thái bất ngờ diễn ra trong bối cảnh cơ quan đăng ký đang phải nỗ lực để loại bỏ một lượng lớn người dùng và các gói độc hại.

Kể từ ngày 20 tháng 5 này, Python Package Index, thường được gọi là PyPI, đã thông báo tạm thời đình chỉ đăng ký người dùng mới và tạo dự án cho đến khi có thông báo mới.

Thông báo sự cố được đăng bởi quản trị viên PyPI cho biết: "Số lượng người dùng độc hại và dự án độc hại được tạo trên PyPI trong tuần qua đã vượt quá khả năng phản hồi kịp thời của chúng tôi, đặc biệt là khi nhiều quản trị viên PyPI nghỉ phép".

Mặc dù các quản trị viên chưa tiết lộ thủ phạm chính xác (tác nhân và tên dự án độc hại) đã khiến họ đóng băng việc đăng ký mới trên nền tảng, nhưng động thái phòng ngừa dự kiến ​​sẽ ngăn chặn kẻ tấn công cho đến khi tìm ra giải pháp lâu dài hơn.

Giống như các cơ quan đăng ký nguồn mở khác, PyPI không lạ gì với việc bị lạm dụng bởi những tác nhân đe dọa muốn phát tán phần mềm độc hại.

Vào tháng 3 năm 2023, một gói PyPI độc hại colorfool đã bị phát hiện đang phát tán một phần mềm độc hại có tên là Color-Blind.

Cùng tháng đó, các gói PyPI 'microsoft-helper' và 'reverse-shell' do Sonatype phát hiện đã được xác định là đang cung cấp các phần mềm đánh cắp thông tin lạm dụng Discord để trích xuất dữ liệu.

Động thái của quản trị viên PyPI dường như không ảnh hưởng đến việc những người bảo trì phát hành các phiên bản mới hơn cho các gói Python có sẵn trên PyPI của họ.

Nguồn: bleepingcomputer.com.