🐍🔐 PyPI bloqueia e-mails com domínios expirando para evitar invasões

PyPI adota medida de segurança contra ataques de “ressurreição de domínios”

O Python Package Index (PyPI), principal repositório de pacotes Python do mundo, implementou uma nova camada de segurança para se proteger contra um tipo específico de ameaça digital conhecido como “ressurreição de domínios”. A partir de agora, e-mails associados a domínios prestes a expirar não poderão mais ser utilizados para redefinição de senhas, o que representa um passo importante na proteção de contas de desenvolvedores e projetos hospedados na plataforma.

O que é a “ressurreição de domínios”?

A técnica consiste em registrar novamente um domínio que expirou, mas que anteriormente estava vinculado a e-mails utilizados em cadastros de plataformas como o PyPI. Ao fazer isso, o atacante pode se apropriar de caixas de e-mail inativas e, em seguida, solicitar redefinições de senha — recuperando o acesso a contas legítimas e, muitas vezes, publicando versões maliciosas de pacotes populares.

Esse tipo de ataque é extremamente perigoso, especialmente em plataformas de código aberto, onde um único pacote comprometido pode afetar milhares de projetos que dependem dele.

A nova política do PyPI

Com a mudança, nenhum link de redefinição de senha será enviado a e-mails vinculados a domínios em processo de expiração. Isso inclui domínios que estão prestes a vencer, em período de carência para renovação, ou já marcados como abandonados nos registros DNS.

A medida é automática e visa impedir que possíveis invasores utilizem essa janela de expiração para sequestrar contas. Além disso, a equipe do PyPI reforça que não será possível detectar transferências legítimas — ou seja, se um domínio expirado for adquirido por outra organização e reativado de forma legítima, a política ainda se aplicará enquanto o domínio for considerado “em risco”.

Por que isso é importante?

Nos últimos anos, a comunidade de software enfrentou diversos incidentes envolvendo ataques à cadeia de suprimentos digital. Plataformas como o NPM e até o GitHub já foram palco de episódios em que pacotes amplamente utilizados foram corrompidos após mudança de controle.

A iniciativa do PyPI se antecipa a esse tipo de ameaça, protegendo tanto os desenvolvedores quanto os usuários finais. Ao invalidar e-mails com domínios instáveis, a plataforma reduz drasticamente a superfície de ataque.

O que os desenvolvedores devem fazer?

Quem possui contas no PyPI com e-mails vinculados a domínios próprios (por exemplo, @seudominio.com) deve verificar a validade desses domínios. Se estiverem prestes a expirar ou inativos, recomenda-se atualizar os e-mails imediatamente para evitar perda de acesso.

A medida também é um lembrete importante sobre a necessidade de manter os domínios pessoais ou corporativos renovados e sob vigilância, especialmente quando vinculados a infraestruturas críticas.

Você usa o PyPI ou mantém domínios personalizados?
Fique atento e compartilhe conosco como você protege seus projetos de ataques digitais.

Fontes:
PyPI Blog, BleepingComputer, Ars Technica, The Hacker News, Python.org