PyPI หรือ Python Package Index ได้แบนการลงทะเบียนใหม่ที่ใช้ที่อยู่อีเมล inbox.ru หลังจากแคมเปญสแปมที่มีการประสานงานกันซึ่งสร้างบัญชีปลอมมากกว่า 250 บัญชีและเผยแพร่แพ็กเกจที่เป็นอันตรายมากกว่า 1,500 รายการ การโจมตีนี้ซึ่งเกิดขึ้นเป็นเวลาหลายสัปดาห์ในช่วงกลางปี 2025 ถือเป็นหนึ่งในเหตุการณ์การละเมิดพื้นที่เก็บแพ็กเกจที่ใหญ่ที่สุดในช่วงหลังมานี้
แคมเปญนี้เริ่มต้นอย่างเงียบๆ ในวันที่ 9 มิถุนายน 2025 ด้วยการสร้างบัญชีผู้ใช้เพียงหนึ่งบัญชี อย่างไรก็ตาม มันได้เพิ่มขึ้นอย่างรวดเร็วด้วยการสร้างบัญชีเพิ่มอีก 46 บัญชีภายในเพียงสามชั่วโมงในวันที่ 11 มิถุนายน ตามด้วยการเพิ่มขึ้นอย่างมหาศาลของ 207 บัญชีในสี่ชั่วโมงในวันที่ 24 มิถุนายน จากนั้นผู้โจมตีได้เปลี่ยนโฟกัสไปที่การสร้างแพ็กเกจ โดยท่วม PyPI ด้วยแพ็กเกจปลอมระหว่างวันที่ 26 มิถุนายนถึง 11 กรกฎาคม
ไทม์ไลน์และขนาดของการโจมตี:
- 9 มิถุนายน 2025: บัญชีที่มีเจตนาร้ายแรกถูกสร้างขึ้น
- 11 มิถุนายน 2025: มีการสร้างบัญชี 46 บัญชีภายใน 3 ชั่วโมง
- 24 มิถุนายน 2025: มีการสร้างบัญชี 207 บัญชีภายใน 4 ชั่วโมง
- 26 มิถุนายน - 11 กรกฎาคม 2025: มีการเผยแพร่แพ็กเกจปลอม 1,525 แพ็กเกจ
- วันที่มีการโจมตีสูงสุด: 30 มิถุนายน โดยมีการเผยแพร่แพ็กเกจ 740 แพ็กเกจ
- ผลกระทบรวม: บัญชีมากกว่า 250 บัญชี แพ็กเกจที่มีเจตนาร้ายมากกว่า 1,500 แพ็กเกจ
การบล็อกโดเมน: วิธีแก้ปัญหาชั่วคราว?
การตอบสนองของชุมชนต่อแนวทางการบล็อกโดเมนของ PyPI มีความหลากหลาย โดยหลายคนตั้งคำถามเกี่ยวกับประสิทธิภาพในระยะยาว นักวิจารณ์ชี้ให้เห็นว่ากลยุทธ์นี้ขัดขวางเพียงผู้โจมตีที่มีทักษะน้อยที่สุดเท่านั้น เนื่องจากบัญชีอีเมลจากผู้ให้บริการรายใหญ่อย่าง Gmail และ Outlook สามารถซื้อเป็นจำนวนมากได้ในราคาเพียง 0.50 ดอลลาร์สหรัฐฯ ต่อบัญชีผ่านตลาดออนไลน์ต่างๆ
การบล็อกโดเมนแสดงให้เห็นเพียงว่าระบบของคุณมีความเปราะบางและมีแนวโน้มที่จะทำให้ผู้โจมตีเปลี่ยนไปใช้โดเมนอื่นๆ เท่านั้น
การบล็อก inbox.ru ซึ่งดำเนินการโดย Mail.Ru (ผู้ให้บริการอีเมลฟรีที่ใหญ่ที่สุดของรัสเซีย) ได้ทำให้เกิดความกังวลเกี่ยวกับความเสียหายที่อาจเกิดขึ้นกับผู้ใช้ที่ถูกต้องตามกฎหมาย นี่เป็นครั้งที่สองที่ PyPI บล็อกผู้ให้บริการอีเมลรายใหญ่ หลังจากการแบนที่คล้ายกันกับโดเมน Outlook ของ Microsoft ในปี 2024
ราคาบัญชีอีเมลในตลาดมืด:
- บัญชี Google : $0.50 USD ต่อบัญชี
- บัญชีอีเมลจำนวนมาก: 25-100+ บัญชี ในราคา $1 USD
- การสร้างบัญชีด้วยตนเอง: ~36 บัญชีต่อชั่วโมง (อิงจากรูปแบบการโจมตี)
การเพิ่มขึ้นของ Slopsquatting
การโจมตีนี้ได้แนะนำเวกเตอร์การคุกคามใหม่ที่เรียกว่า slopsquatting ซึ่งเป็นการสร้างแพ็กเกจที่เป็นอันตรายด้วยชื่อที่โมเดลภาษา AI อาจแนะนำให้ผู้ใช้ใช้งานอย่างไม่ถูกต้อง ผู้ใช้ PyPI คนหนึ่งได้รายงานปัญหานี้เป็นครั้งแรกหลังจากทำงานกับโมเดล AI ที่แนะนำให้ติดตั้งแพ็กเกจที่ไม่มีอยู่จริง ซึ่งเน้นให้เห็นว่าเครื่องมือปัญญาประดิษฐ์สามารถกลายเป็นเวกเตอร์การโจมตีได้โดยไม่ตั้งใจ
แพ็กเกจปลอมเหล่านี้ไม่มีมัลแวร์จริงๆ แต่อาจจะแย่งชิงจุดเข้าใช้งานของโปรเจกต์ยอดนิยม ทำให้เกิดความสับสนและความเสี่ยงด้านความปลอดภัยสำหรับนักพัฒนาที่อาจติดตั้งโดยไม่ตั้งใจแทนแพ็กเกจที่ถูกต้อง
ข้อจำกัดของทรัพยากรขับเคลื่อนมาตรการเชิงรับ
การอภิปรายในชุมชนเผยให้เห็นว่าแนวทางเชิงรับของ PyPI เกิดจากข้อจำกัดของทรัพยากรเป็นหลัก แพลตฟอร์มนี้ดำเนินงานด้วยทรัพยากรบุคคลที่จำกัดมากและพึ่งพาโครงสร้างพื้นฐานที่บริจาคจากบริษัทต่างๆ อย่าง Fastly เป็นหลัก ข้อเสนอแนะสำหรับการตรวจสอบแพ็กเกจด้วยตนเอง ซึ่งคล้ายกับกระบวนการตรวจสอบของ Maven Central ต้องเผชิญกับความเป็นจริงที่ว่า PyPI ขาดบุคลากรในการดำเนินการมาตรการดังกล่าว
ขนาดของปัญหาจะชัดเจนขึ้นเมื่อพิจารณาว่าผู้โจมตีที่มีความมุ่งมั่นใดๆ สามารถเปลี่ยนระหว่างผู้ให้บริการอีเมลได้อย่างง่ายดาย ทำให้ PyPI ต้องเข้าสู่เกมตีตุ่นที่ไม่มีที่สิ้นสุด สมาชิกชุมชนบางคนโต้แย้งว่าวิธีการตรวจจับที่ซับซ้อนมากขึ้น เช่น การวิเคราะห์รูปแบบของการสร้างบัญชีและพฤติกรรมการเผยแพร่ อาจให้การป้องกันที่ดีกว่าโดยไม่ต้องบล็อกผู้ใช้ที่ถูกต้อง
คำถามที่กว้างขึ้นเกี่ยวกับความปลอดภัยของพื้นที่เก็บแพ็กเกจ
เหตุการณ์นี้ได้จุดประกายการถกเถียงใหม่เกี่ยวกับโมเดลความปลอดภัยพื้นฐานของพื้นที่เก็บแพ็กเกจแบบเปิด ต่างจากการแจกจ่าย Linux ซึ่งโดยทั่วไปจะเกี่ยวข้องกับการตรวจสอบของชุมชนและการดูแลของผู้ดูแล แพลตฟอร์มอย่าง PyPI และ NPM อนุญาตให้ใครก็ตามเผยแพร่แพ็กเกจได้ด้วยอุปสรรคที่น้อยที่สุด
ลักษณะการทำด้วยมือของการโจมตี ซึ่งมีการสร้างบัญชีเป็นเวลาหลายชั่วโมงแทนที่จะผ่านสคริปต์อัตโนมัติ แสดงให้เห็นว่าแม้แต่การละเมิดที่ขับเคลื่อนโดยมนุษย์ก็สามารถครอบงำมาตรการความปลอดภัยปัจจุบันได้ สิ่งนี้ทำให้บางคนตั้งคำถามว่าโมเดลเผยแพร่อะไรก็ได้ เมื่อไหร่ก็ได้ จะสามารถอยู่รอดได้ในยุคของการโจมตี supply chain ที่ซับซ้อนมากขึ้นหรือไม่
ขณะที่ PyPI ยังคงต่อสู้กับการละเมิดผ่านการบล็อกโดเมน เหตุการณ์นี้ทำหน้าที่เป็นเครื่องเตือนใจว่าการรักษาความปลอดภัยของระบบนิเวศแพ็กเกจโอเพนซอร์สต้องการการสร้างสมดุลระหว่างการเข้าถึงได้และความปลอดภัย ซึ่งเป็นความท้าทายที่ส่งผลต่อนักพัฒนาหลายล้านคนทั่วโลก