Команда Python Package Index (PyPI), официального Python-репозитория, сообщила о временном отключении регистрации пользователей и запрете на загрузку новых пакетов. Эти меры стали вынужденным ответом на наплыв злоумышленников и вредоносных пакетов.
«Количество вредоносных пользователей и вредоносных проектов, созданных в индексе за последнюю неделю, превысило нашу способность своевременно реагировать на них, особенно в свете того, что несколько администраторов PyPI находятся в отпуске, — сообщили мейнтейнеры 20 мая 2023 года. — Пока мы перегруппировываемся в выходные, регистрация новых пользователей и новых проектов временно приостанавливается».
Администраторы PyPI не сообщили, на ком именно лежит ответственность за произошедшее (о каких злоумышленниках и проектах идет речь), и что именно привело к временной блокировке новых регистраций на платформе.
Нужно отметить, что в последние годы вредоносные кампании, связанные с PyPI, действительно участились, а исследователи то и дело обнаруживают на платформе вредоносные пакеты (1, 2, 3, 4, 5).
Сегодня утром, 22 мая 2023 года, администраторы PyPI сообщили, что возникшая в выходные проблема разрешилась, «перегруппировка», видимо, уже окончена, и теперь ограничения отменены.
