Hacker News 中文摘要

RSS订阅

PyPI禁止使用inbox.ru邮箱域名注册 -- PyPI Prohibits inbox.ru email domain registrations

原文链接 | HN讨论 | 2025-07-17 06:30:21

文章摘要

近期针对PyPI的垃圾邮件活动导致管理措施出台,禁止使用inbox.ru邮箱域名进行新注册或添加额外地址。该活动创建了250多个新用户账户,发布了1500多个新项目,引发用户混淆、资源滥用和潜在安全问题。所有相关项目已被移除,账户被禁用。PyPI使用disposable-email-domains列表阻止使用一次性邮箱注册,并维护内部黑名单以应对滥用行为。

文章总结

主要内容总结

标题: 禁止使用 inbox.ru 邮箱域名注册 - Python 包索引博客
发布时间: 2025年7月16日 17:07:19 GMT
标签: 安全, 透明度

背景

近期针对 PyPI 的垃圾邮件活动促使管理员采取行动,禁止使用 inbox.ru 邮箱域名进行新用户注册或添加为附加邮箱。该活动创建了超过 250 个新用户账户,发布了超过 1,500 个新项目,导致最终用户混淆、资源滥用和潜在的安全问题。所有相关项目已从 PyPI 移除,相关账户已被禁用。

时间线

  • 2025-06-09: 第一个用户账户创建、验证、设置双因素认证(2FA)并生成 API 令牌。
  • 2025-06-11: 3 小时内创建了 46 个用户账户。
  • 2025-06-24: 4 小时内创建了 207 个用户账户。
  • 2025-06-29: 开始创建新项目并上传文件。

以下是各日期发布的项目数量表:

| 日期 | 项目数量 | | ---------- | -------- | | 2025-06-26 | 9 | | 2025-06-27 | 295 | | 2025-06-28 | 39 | | 2025-06-29 | 119 | | 2025-06-30 | 740 | | 2025-07-01 | 249 | | 2025-07-02 | 46 | | 2025-07-10 | 16 | | 2025-07-11 | 12 | | 总计 | 1,525 |

详细情况

这些项目使用了各种名称,但内部没有代码,因此并非恶意软件,但可能利用了流行项目的入口点(通常是命令行执行接口),因为这些入口点不需要与 PyPI 上的项目名称相同。这种行为模式似乎与创建大量账户、确认访问权限,然后执行大规模“攻击”一致。这可能是一次未来攻击的“预演”。

PyPI 管理员于 2025-07-08 首次收到用户报告,称他们正在使用大型语言模型(Sonnet 4)推荐安装一个不存在的项目,即所谓的"slopsquatting"。这提醒用户应始终验证他们安装的项目名称,而不是直接复制粘贴第三方(如 AI 模型或互联网上的随机人员)建议的项目名称。

未来展望

希望在未来对该邮箱提供商防止滥用的能力更有信心时,能够撤销这一决定。如果您在该提供商工作,请通过 security@pypi.org 与我们联系,讨论此决定。

感谢所有保持警惕并向我们报告问题的用户!

评论总结

评论主要围绕软件包发布平台的安全性和滥用问题展开,观点多样,以下是总结:

  1. 平台模型的根本问题

    • 评论2指出,NPM/PyPI等平台的“任何人都可以发布软件”模式容易导致滥用,缺乏社区验证机制。
    • 引用:“The whole model is broken... There has to be a level of community validation for anything automatically installable.”(整个模型是坏的……任何自动安装的软件都需要一定程度的社区验证。)

  2. 域名屏蔽的局限性

    • 评论3和评论7认为,屏蔽特定邮箱域名(如inbox.ru)只能阻止最低级的攻击者,攻击者会轻易切换到其他域名。
    • 引用:“Blocking an email domain will dissuade only the lowest effort attacker.”(屏蔽邮箱域名只能阻止最低级的攻击者。)
    • 引用:“Why does the ban specifically focus on a single domain instead of attempting to solve the core issue?”(为什么禁令只针对单一域名,而不是尝试解决核心问题?)

  3. 更有效的解决方案

    • 评论4建议使用开源安全分析工具来检测欺诈账户,而不是依赖域名屏蔽。
    • 引用:“You can use open-source security analytics to detect fraudulent accounts instead of blocking domain names.”(你可以使用开源安全分析工具来检测欺诈账户,而不是屏蔽域名。)

  4. 手动审核的必要性

    • 评论6提出,新账户的首次发布应进入手动审核队列,以减少滥用风险。
    • 引用:“Why not queue the first few publishes on new accounts for manual review?”(为什么不将新账户的前几次发布加入手动审核队列?)

  5. 垃圾邮件的普遍性

    • 评论5和评论9认为,垃圾邮件问题无法彻底解决,攻击者总能找到低成本的方式绕过限制。
    • 引用:“Spam never ends.”(垃圾邮件永远不会结束。)
    • 引用:“Google accounts are $0.50 on hstock. It’s impossible to stop spam.”(Google账户在hstock上售价0.5美元,垃圾邮件无法阻止。)

  6. 域名管理的复杂性

    • 评论11分享了个人域名被误标记为一次性邮箱的经历,强调维护域名列表的困难。
    • 引用:“It’s like fighting the sea, but the groups making opensource software to use these lists are at least very apologetic and merge the PR’s quickly.”(这就像与大海搏斗,但使用这些列表的开源软件团队至少非常抱歉,并迅速合并PR。)

总结:评论普遍认为,单纯屏蔽域名无法解决软件包发布平台的滥用问题,建议引入社区验证、手动审核和开源安全分析等更有效的机制。同时,垃圾邮件的普遍性和攻击者的低成本手段使得彻底解决这一问题极具挑战性。