PyPI, registri pihak ketiga resmi dari paket Python sumber terbuka untuk sementara menangguhkan pengguna baru untuk mendaftar, dan mengunggah proyek baru ke platform hingga pemberitahuan lebih lanjut.
Langkah terobosan ini dilakukan di tengah perjuangan registri untuk mempertahankan masuknya pengguna dan paket berbahaya dalam jumlah besar.
PyPI untuk sementara menghentikan pengguna baru, proyek
Mulai hari ini, Indeks Paket Python, lebih dikenal sebagai PyPI, untuk sementara menangguhkan pendaftaran pengguna baru dan pembuatan proyek hingga pemberitahuan lebih lanjut.
“Pengguna baru dan pendaftaran nama proyek baru di PyPI untuk sementara ditangguhkan,” negara bagian pemberitahuan insiden diposting oleh admin PyPI hari ini, 20 Mei.
“Volume pengguna jahat dan proyek jahat yang dibuat di indeks dalam seminggu terakhir telah melampaui kemampuan kami untuk meresponsnya secara tepat waktu, terutama dengan beberapa administrator PyPI yang cuti.”
Meskipun admin registri belum mengungkapkan pelaku sebenarnya (aktor jahat dan nama proyek) yang membuat mereka membekukan pendaftaran baru di platform, langkah pencegahan diharapkan dapat menangkal musuh hingga solusi yang lebih permanen dapat ditemukan.
“Sementara kami mengelompokkan ulang selama akhir pekan, pendaftaran pengguna baru dan proyek baru untuk sementara ditangguhkan.”
Seperti pendaftar sumber terbuka lainnya, PyPI tidak asing untuk disalahgunakan oleh musuh yang ingin mendistribusikan malware.
Pada Maret 2023, file berbahaya paket PyPI colorfool tertangkap sedang mendistribusikan apa yang dijuluki sebagai malware ‘Buta Warna’ oleh perusahaan konsultan risiko, Kroll.
Bulan yang sama, paket PyPI ‘microsoft-helper’ dan ‘reverse-shell’ diidentifikasi oleh Sonatype, tertangkap menjatuhkan pencuri info yang menyalahgunakan Discord untuk mengeksfiltrasi rahasia.
Langkah hari ini oleh admin PyPI sepertinya tidak akan memengaruhi pengelola paket Python yang ada yang tersedia di registri dari menerbitkan versi artefak mereka yang lebih baru.
Ini adalah cerita yang berkembang…
