Python Package Index (PyPI) đã tăng cường đáng kể các biện pháp an ninh mạng để phòng chống các tấn công hồi sinh tên miền (domain resurrection attacks). Đây là một mối đe dọa mạng chuỗi cung ứng phức tạp, nơi kẻ tấn công lợi dụng việc tên miền hết hạn để chiếm đoạt tài khoản người dùng, đặc biệt thông qua cơ chế đặt lại mật khẩu dựa trên email.

Kể từ đầu tháng 6 năm 2025, nền tảng này đã thực hiện một bước đi chủ động bằng cách hủy xác minh hơn 1.800 địa chỉ email. Các địa chỉ này được xác định là liên quan đến các tên miền đang chuyển sang giai đoạn hết hạn.

Phân Tích Tấn công Hồi sinh Tên miền và Nguy cơ

Các tấn công hồi sinh tên miền khai thác một lỗ hổng cơ bản trong cách các hệ thống xác minh tài khoản dựa trên email hoạt động. Khi người dùng PyPI đăng ký tài khoản, quy trình tiêu chuẩn yêu cầu họ xác minh địa chỉ email bằng cách nhấp vào một liên kết xác nhận được gửi đến hộp thư của họ.

PyPI, giống như nhiều dịch vụ trực tuyến khác, coi các địa chỉ email đã được xác minh này là một chỉ báo mạnh mẽ về quyền sở hữu tài khoản. Mức độ tin cậy này càng được củng cố khi kết hợp với các biện pháp bảo mật bổ sung như xác thực hai yếu tố (2FA).

Vector tấn công chính phát sinh khi tên miền của một người dùng hết hạn, thường là do việc không thanh toán phí duy trì đúng hạn. Tại thời điểm này, các đối tượng độc hại có thể theo dõi và đăng ký lại các tên miền đã hết hạn đó. Sau khi kiểm soát được tên miền, kẻ tấn công có thể thiết lập máy chủ email và gửi yêu cầu đặt lại mật khẩu cho các tài khoản PyPI (hoặc các dịch vụ khác) liên quan đến tên miền vừa bị tái chiếm.

Kỹ thuật này đã được chứng minh là có tác động thực tế, không chỉ ảnh hưởng đến ít nhất một dự án PyPI vào năm 2022 mà còn được ghi nhận là nhắm mục tiêu vào các hệ sinh thái quản lý gói phần mềm khác. Điều này nhấn mạnh tầm quan trọng của việc bảo vệ các kênh xác thực tài khoản cốt lõi.

Cơ chế Phòng Ngừa và Tăng cường An Ninh Mạng của PyPI

Giải pháp phòng ngừa của PyPI dựa trên việc giám sát liên tục trạng thái tên miền. Nền tảng này sử dụng Domainr’s Status API, một dịch vụ được cung cấp bởi Fastly, chuyên theo dõi và cung cấp thông tin về trạng thái đăng ký của các tên miền trên toàn cầu.

PyPI thực hiện kiểm tra hàng ngày đối với tất cả các tên miền được sử dụng cho địa chỉ email người dùng. Sau mỗi lần kiểm tra, cơ sở dữ liệu nội bộ của PyPI sẽ được cập nhật với thông tin trạng thái tên miền mới nhất, đảm bảo tính chính xác và kịp thời của dữ liệu.

Khi một tên miền chuyển sang giai đoạn chuộc lại (redemption period) – một giai đoạn thường bắt đầu khoảng 30 ngày sau ngày hết hạn ban đầu – PyPI sẽ tự động hủy xác minh tất cả các địa chỉ email đã được xác thực trước đó mà có liên kết với tên miền đó. Thời điểm này được chọn lọc kỹ lưỡng để phù hợp với quy trình hết hạn tên miền tiêu chuẩn, nơi tên miền trải qua các giai đoạn ân hạn khác nhau trước khi trở nên công khai và có sẵn cho việc đăng ký lại bởi bất kỳ ai.

Hệ thống giám sát này hoạt động dựa trên một chu kỳ 30 ngày, được thiết kế để bắt kịp các tên miền trong khi chúng vẫn còn trong giai đoạn ân hạn gia hạn hoặc giai đoạn chuộc lại. Mục tiêu là ngăn chặn hiệu quả việc chuyển quyền sở hữu tên miền có thể dẫn đến các cuộc tấn công hồi sinh tên miền.

Tuy nhiên, PyPI cũng thẳng thắn thừa nhận rằng phương pháp này không thể phát hiện các trường hợp chuyển nhượng tên miền hợp pháp giữa các bên có sự hợp tác. Đây là một giới hạn chấp nhận được do bản chất của việc giám sát dựa trên trạng thái công khai.

Sau khi triển khai ban đầu vào tháng 4 năm 2025, hệ thống giám sát tự động của PyPI đã xử lý một khối lượng đáng kể các địa chỉ email có nguy cơ bị xâm phạm. Quá trình hủy xác minh tự động này là một lớp phòng thủ quan trọng, bảo vệ cả chủ tài khoản PyPI và người dùng cuối của các gói Python khỏi những nguy cơ tiềm ẩn.

Cải tiến bảo mật này mang lại lợi ích đặc biệt cho các tài khoản cũ hơn, được tạo ra trước khi PyPI áp dụng yêu cầu 2FA. Yêu cầu 2FA được triển khai bắt buộc cho các tài khoản có hoạt động sau ngày 1 tháng 1 năm 2024. Mặc dù các tài khoản mới hơn với 2FA có lớp bảo vệ bổ sung, hệ thống giám sát tên miền vẫn đảm bảo sự bảo vệ toàn diện trên toàn bộ cơ sở người dùng của PyPI.

PyPI đã công bố chi tiết về giải pháp này trên blog chính thức của họ, cung cấp cái nhìn sâu sắc về các nỗ lực tăng cường an ninh mạng. Thông tin chi tiết có thể được tìm thấy tại: Preventing Domain Resurrections.

Giảm thiểu Rủi ro Bảo mật và Khuyến nghị cho Người dùng

Để giảm thiểu rủi ro bảo mật từ các kịch bản tấn công hồi sinh tên miền, PyPI khuyến nghị mạnh mẽ người dùng có một địa chỉ email đã xác minh duy nhất từ các tên miền tùy chỉnh nên xem xét thêm xác minh thứ cấp. Việc sử dụng các nhà cung cấp dịch vụ email lớn và uy tín như Gmail hoặc Outlook làm địa chỉ email phụ được khuyến khích.

Sự dự phòng này đóng vai trò quan trọng trong việc đảm bảo rằng quyền truy cập tài khoản vẫn có thể thực hiện được ngay cả khi tên miền chính của người dùng hết hạn hoặc gặp sự cố ngoài dự kiến. Đây là một lớp bảo vệ quan trọng chống lại việc mất quyền kiểm soát tài khoản.

Ngoài ra, người dùng nên triển khai xác thực hai yếu tố (2FA) trên tất cả các dịch vụ trực tuyến sử dụng cùng địa chỉ email. Điều này đặc biệt quan trọng vì kẻ tấn công có thể cố gắng khôi phục tài khoản thông qua nhiều nền tảng khác nhau trong quá trình thực hiện các chiến dịch tấn công hồi sinh tên miền, tận dụng sơ hở trên bất kỳ dịch vụ nào.

Việc áp dụng các biện pháp bảo mật nhiều lớp này, bao gồm cả việc duy trì nhiều kênh xác thực và sử dụng 2FA, giúp giảm đáng kể các vector tấn công thành công. Đồng thời, các biện pháp này vẫn duy trì khả năng truy cập thuận tiện của người dùng vào kho gói phần mềm rộng lớn của PyPI, đảm bảo cả an toàn và hiệu quả.