Платформа Python Package Index (PyPI) является ключевым элементом экосистемы Python, предоставляя удобное и централизованное место для распространения пакетов. За годы своего существования PyPI приобрела репутацию надежного хранилища, где разработчики могут безопасно публиковать и получать программные библиотеки для самых разных задач. Однако, в июле 2025 года администрация PyPI приняла жесткое решение — запретить регистрацию аккаунтов с использованием почтового домена inbox.ru. Это решение вызвало широкий резонанс в сообществе программистов и стало предметом активного обсуждения среди экспертов по безопасности и менеджеров проектов.
Суть проблемы связана с масштабной спам-кампанией, инициированной злоумышленниками, которые массово регистрировали учетные записи с почтовыми адресами на inbox.ru. За непродолжительный период было создано свыше 250 новых аккаунтов, через которые было опубликовано более 1500 проектов. Несмотря на то, что в этих проектах отсутствовал вредоносный код, их большое количество и частая публикация вызвали путаницу среди пользователей, создавали нагрузку на ресурсы сервиса и порождали риски с точки зрения безопасности. Администрация PyPI оперативно отреагировала на угрозу, удалив все проекты, относящиеся к данной кампании, и отключив заблокированные аккаунты.
Но главным результатом разбирательства стало принятие решения о запрете новых регистраций с почтовых ящиков домена inbox.ru. Этот шаг является частью более широкой политики PyPI, направленной на минимизацию злоупотреблений и защиту сообщества разработчиков от спама и потенциальных атак. История инцидента начинается в начале июня 2025 года, когда впервые появилась учетная запись с почтой на inbox.ru.
В течение короткого периода времени злоумышленники создали десятки новых пользователей, быстро установили двухфакторную аутентификацию, получили доступ к API-токенам и начали массово создавать проекты. Особенно высокий всплеск активности пришелся на конец июня и начало июля, когда число созданных проектов достигло рекордных значений. Особенностью данных проектов было отсутствие внутреннего кода, что указывает на то, что злоумышленники не пытались напрямую распространять вредоносное ПО. Вместо этого предполагается, что с помощью этих аккаунтов они проводили испытания снижения бдительности пользователей, пытаясь создать иллюзию легитимных пакетов с заманчивыми точками входа, совпадающими с именами популярных библиотек или инструментов командной строки. Отдельно стоит выделить феномен, который получил название «slopsquatting».
Во время расследования пользователи сообщили, что искусственный интеллект, с которым они взаимодействовали, рекомендовал устанавливать несуществующие проекты, опубликованные в рамках кампании с inbox.ru. Это поднимает важную тему необходимости критического подхода к рекомендациям и проверке источников перед установкой пакетов, особенно когда речь идет о советах от AI или случайных пользователей. Политика PyPI в отношении контроля адресов электронной почты традиционно довольно гибкая: платформе разрешается использование любых валидных почтовых адресов, но ответственность за безопасность учетных данных частично переносится на провайдеров почтовых услуг. Однако в ответ на рост использования дисposable email domains (одноразовых почтовых адресов) и иных методов обхода безопасности PyPI внедрила механизм внутреннего блоклистинга, который регулярно обновляется администраторами.
Решение запретить домен inbox.ru иллюстрирует, что даже крупные и уважаемые почтовые сервисы могут оказаться участниками злоупотреблений или недостаточно эффективно противостоять спам-атакам. В своем обращении команда PyPI выражает надежду на возможное пересмотрение данной меры в будущем, если администрация inbox.ru усилит защиту от подобных действий и наладит более прозрачное сотрудничество с PyPI посредством прямого контакта по вопросам безопасности. Для разработчиков и пользователей Python данный инцидент является важным напоминанием о необходимости проверять источники пакетов и внимательно относиться к безопасности своих учетных записей.
Несмотря на то, что подобные кампании не несут прямой угрозы в виде вредоносного кода, они могут создавать условия для социальных атак, распространения дезинформации и подрыва доверия к экосистеме. Последствия смещения к более жесткой политике регистрации электронной почты могут быть неоднозначными. С одной стороны, это повышает безопасность и снижает риск злоупотреблений. С другой — ограничивает свободу пользователей, особенно если заблокированный почтовый домен является популярным в определенных регионах. Такие изменения требуют от разработчиков адаптации, поиска альтернативных почтовых провайдеров и более тщательного контроля за учетными данными.
В долгосрочной перспективе опыт с доменом inbox.ru подчеркивает важность комплексного подхода к безопасности в сообществе Python. Необходимы как технологические решения — улучшенные системы мониторинга, автоматические фильтры и двухфакторная аутентификация, так и образовательные инициативы, помогающие пользователям осознанно относиться к выбору и использованию пакетов. Инциденты подобного рода редко имеют однозначное решение, однако прозрачность действий PyPI, регулярное информирование сообщества и готовность корректировать внутренние процессы вселяют уверенность, что экосистема Python остается одной из наиболее безопасных и устойчивых среди современных языков программирования. Администрация призывает всех пользователей оставаться бдительными, не доверять непроверенным рекомендациям и активно сообщать об аномалиях.
Кроме того, это ситуация открывает новые возможности для сотрудничества различных сервисов и платформ, работающих с разработчиками, для создания более надежной и ответственно управляемой инфраструктуры распространения программного обеспечения. PyPI уже пригласила представителей inbox.ru к диалогу с целью поиска путей улучшения контроля и предотвращения злоупотреблений. Именно такой совместный подход позволит минимизировать риски и продвинуть защиту программного обеспечения на новый уровень качества и надежности. В итоге, несмотря на сложности и ограничения, которые накладывает запрет регистраций с inbox.
ru, это шаг в сторону повышения устойчивости и безопасности всего сообщества Python.
