Neue Python-Entwickler haben momentan keine Möglichkeit, sich bei PyPI zu registrieren und eigene Projekte hochzuladen. Nachdem manche Pakete in dem quelloffenen Repository mit Malware kompromittiert wurden, haben die Verwalter einige Schutzmechanismen eingeführt.
Laut einem Bericht von
PyPI hat schon seit längerer Zeit mit kompromittierten Paketen zu kämpfen. In der Vergangenheit wurde immer wieder Malware in unterschiedlichen Projekten gefunden. Nachdem Entwickler die entsprechenden Pakete in eigene Programme eingebaut und Nutzer die jeweilige Anwendung installiert haben, wird Hackern Remote-Zugang zum PC ermöglicht. Um Firewall-Beschränkungen zu umgehen, wurden in manchen Fällen Cloudflare-Tunnel verwendet.
Zusammenfassung
Laut einem Bericht von
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
hat das offizielle Repository für quelloffene Python-Projekte von Drittanbietern die Registrierung von neuen Konten vorübergehend unterbunden. Somit können aktuell keine weiteren Projekte auf der Plattform zur Verfügung gestellt werden. Die Maßnahme gilt bis auf Weiteres, sodass unklar ist, wann neue Pakete wieder angeboten werden können. Damit sollen Angreifer keinen Schadcode mehr hochladen und weitere Projekte kompromittieren können. PyPI hat schon seit längerer Zeit mit kompromittierten Paketen zu kämpfen. In der Vergangenheit wurde immer wieder Malware in unterschiedlichen Projekten gefunden. Nachdem Entwickler die entsprechenden Pakete in eigene Programme eingebaut und Nutzer die jeweilige Anwendung installiert haben, wird Hackern Remote-Zugang zum PC ermöglicht. Um Firewall-Beschränkungen zu umgehen, wurden in manchen Fällen Cloudflare-Tunnel verwendet.
Bestehende Nutzer können sich weiterhin anmelden
Existierende Nutzer sind von der neuen Maßnahme nicht betroffen. Wer kritische Projekte mit einer Vielzahl an Downloads anbietet, muss sich jedoch mit einer Zwei-Faktor-Authentifizierung anmelden. Damit soll verhindert werden, dass inaktive Accounts oder Konten mit aus einem Hack bekannten Passwörtern übernommen werden. Einige Entwickler fanden die Maßnahme allerdings nicht zielführend und haben kurzerhand ein neues Projekt angelegt.Zusammenfassung
- PyPI unterbindet Registrierung neuer Konten, um Malware-Uploads zu verhindern.
- Existierende Nutzer sind nicht betroffen, kritische Projekte benötigen 2FA.
- PyPI kämpft seit längerer Zeit mit kompromittierten Paketen und Malware.
- Unklarheit, wann neue Pakete wieder angeboten werden können.
