PyPI ve Alan Adı Yeniden Canlandırma Saldırıları
Python’un resmi paket havuzu olan PyPI (Python Package Index), son dönemde alan adı yeniden canlandırma saldırılarına karşı yeni önlemler geliştirdi. Bu önlemler, kullanıcı hesaplarının şifre sıfırlama işlemleri üzerinden ele geçirilmesini engellemeyi hedefliyor. Alan adı yeniden canlandırma saldırıları, kötü niyetli kişilerin süresi dolmuş bir alan adını yeniden kaydederek, bu alan adıyla ilişkilendirilmiş hesapları ele geçirmesine olanak tanıyor.
PyPI ve Kullanıcı Hesapları
PyPI, açık kaynak Python paketleri için kullanılan bir platformdur. Yazılım geliştirenler, ürün yöneticileri ve Python kütüphaneleriyle çalışan şirketler tarafından tercih edilmektedir. PyPI üzerindeki proje yöneticilerinin hesapları, genellikle e-posta adresleriyle ilişkilendirilmiştir. Bazı projelerde bu e-posta adresleri doğrudan bir alan adı ile bağlantılıdır. Alan adının süresi dolduğunda, bir saldırgan bu alan adını yeniden kaydederek çeşitli kötü niyetli eylemler gerçekleştirebilir.
Alan Adı Yeniden Kaydı ile Gelen Riskler
Bir alan adı süresinin dolması durumunda, bir saldırgan bu alan adını kayıt altına alabilir. Ardından, bir e-posta sunucusu kurarak, PyPI üzerindeki hesabın şifre sıfırlama talebini gerçekleştirebilir. Bu tür bir eylem sonucunda, saldırgan PyPI üzerindeki projeye erişim sağlayarak, kötü amaçlı yazılımlar yayımlayabilir. Bu tür saldırılar, bir tedarik zinciri saldırısı riski taşır; zira ele geçirilen projeler, popüler Python paketlerinin tehlikeli versiyonlarını kullanıcıların sistemlerine yükleyebilir.
Mayıs 2022’de meydana gelen “ctx” paketi saldırısı, bu tür bir tehdidin somut bir örneğidir. Bu saldırıda, bir kötü niyetli aktör, Amazon AWS anahtarlarını ve hesap bilgilerini hedef alan kötü bir kod eklemiştir. Bu durum, PyPI gibi platformların güvenliğini sağlamak adına alınan önlemlerin önemini bir kez daha gözler önüne sermektedir.
PyPI’nın Yeni Güvenlik Önlemleri
PyPI, alan adı yeniden canlandırma saldırılarına karşı önlem almak amacıyla, doğrulanmış e-posta adreslerinin alan adlarının süresinin dolup dolmadığını kontrol etmeye başladı. Eğer bir alan adı süresi dolmuşsa veya dolmaya yakınsa, bu e-posta adresleri doğrulanmamış olarak işaretleniyor. Bu durum, kullanıcıların hesaplarını koruma adına önemli bir adım olarak değerlendirilmektedir.
Teknik açıdan bakıldığında, PyPI, Domainr Status API’sini kullanarak bir alan adının yaşam döngüsü aşamasını (aktif, lütuf süresi, kurtarma süresi, silinme bekleyen) belirlemektedir. Böylece, belirli bir hesabın durumu hakkında karar vererek gerekli eylemleri uygulayabiliyor.
Hesapların Korunması ve Ek Önlemler
Belirtilen yeni güvenlik önlemleri devreye girmeden önce, PyPI ekibi, Nisan ayında ön taramalar gerçekleştirerek güncel durumu değerlendirdi. Haziran 2025 itibarıyla, günlük taramalar yapılmaya başlandı ve bu süreçte 1,800’den fazla e-posta adresi yeni sistem altında doğrulanmamış olarak kaydedildi. Yeni önlemler her ne kadar mükemmel olmasa da, alan adı süresinin dolmasından kaynaklanan riskleri önemli ölçüde azaltmıştır.
PyPI, kullanıcıların hesaplarını korumak amacıyla, kişisel alan adları dışındaki yedek e-posta adreslerini hesaba eklemelerini öneriyor. Ayrıca, daha güçlü bir koruma sağlamak amacıyla iki aşamalı kimlik doğrulama özelliğinin etkinleştirilmesi de tavsiye edilmektedir. Bu önlemler, hesapların kötü niyetli kişiler tarafından ele geçirilmesine karşı ek bir savunma katmanı sunmaktadır.
Sonuç Olarak
PyPI, açık kaynak yazılımların güvenliğini sağlama amacı doğrultusunda sürekli olarak yeni önlemler geliştirmekte ve uygulamaktadır. Alan adı yeniden canlandırma saldırılarına karşı alınan bu yeni önlemler, kullanıcıların hesaplarını koruma adına kritik öneme sahiptir. Yazılım geliştirme dünyasında güvenlik önemli bir unsur haline geldiğinden, geliştiricilerin ve proje yöneticilerinin bu tür güncellemeleri dikkatle takip etmeleri gerekmektedir.
