PyPI (Python Package Index) ha implementado una prohibición inmediata para los registros de dominios de correo electrónico inbox.ru. Esta medida surge como respuesta a una sofisticada campaña de spam que resultó en la carga de más de 1,500 proyectos falsos en el repositorio durante un mes.
Detalles del Ataque y su Descubrimiento
El ataque, que comenzó el 9 de junio de 2025, involucró la creación de más de 250 cuentas de usuario. Estas cuentas inundaron sistemáticamente el repositorio con paquetes vacíos diseñados para explotar vulnerabilidades de confusión de paquetes, una técnica conocida como «slopsquatting». A diferencia de la distribución de malware tradicional, este enfoque buscaba generar confusión y potencialmente preparar la infraestructura para futuros ataques.
Los atacantes demostraron un método meticuloso: primero establecieron cuentas de apariencia legítima con autenticación de dos factores y tokens API, y luego lanzaron su ofensiva. Los proyectos falsos carecían de código real, pero sus nombres estaban estratégicamente elegidos para interceptar posibles instalaciones de paquetes legítimos.
Analistas de PyPI identificaron la actividad maliciosa el 8 de julio de 2025, después de que un usuario reportara que un modelo de lenguaje de IA (Sonnet 4) había recomendado la instalación de un paquete inexistente. Este hallazgo desencadenó una investigación inmediata que reveló la magnitud de la campaña coordinada, la cual había operado sin ser detectada por casi un mes.
Estrategia de los Atacantes y Respuesta de PyPI
La sofisticada estrategia de los atacantes se desarrolló en varias fases:
- 9 de junio: Inicio con la creación de una única cuenta verificada con autenticación de dos factores.
- 11 de junio: Escalada rápida con la creación de 46 cuentas adicionales en tres horas.
- 24 de junio: Establecimiento de 207 cuentas más en solo cuatro horas.
- 26 de junio: Comienzo de la fase de carga con nueve proyectos iniciales.
- 30 de junio: Culminación del ataque con la carga de 740 paquetes falsos en un solo día.
Los proyectos se dirigían a puntos de entrada de la interfaz de línea de comandos, aprovechando que los nombres de estas interfaces de ejecución no necesitan coincidir con el nombre real del proyecto PyPI, creando así oportunidades para ataques de confusión de paquetes.
En respuesta, los administradores de PyPI actuaron rápidamente, eliminando los 1,525 proyectos maliciosos, deshabilitando las cuentas asociadas e implementando restricciones a nivel de dominio para los registros de inbox.ru. Los mantenedores del repositorio han expresado que, aunque esta acción era necesaria por motivos de seguridad, están abiertos a reconsiderar la prohibición si el proveedor de correo electrónico demuestra haber mejorado sus medidas de prevención de abusos.
