PyPI , Python Package Index, telah melarang pendaftaran baru menggunakan alamat email inbox.ru menyusul kampanye spam terkoordinasi yang menciptakan lebih dari 250 akun palsu dan menerbitkan lebih dari 1.500 paket berbahaya. Serangan yang berlangsung selama beberapa minggu di pertengahan 2025 ini merupakan salah satu insiden penyalahgunaan repositori paket terbesar dalam ingatan baru-baru ini.
Kampanye dimulai secara diam-diam pada 9 Juni 2025, dengan pembuatan satu akun pengguna. Namun, hal ini dengan cepat meningkat dengan 46 akun lagi dibuat dalam waktu hanya tiga jam pada 11 Juni, diikuti dengan lonjakan besar-besaran 207 akun dalam empat jam pada 24 Juni. Para penyerang kemudian mengalihkan fokus ke pembuatan paket, membanjiri PyPI dengan paket palsu antara 26 Juni dan 11 Juli.
Kronologi dan Skala Serangan:
- 9 Juni 2025: Akun jahat pertama dibuat
- 11 Juni 2025: 46 akun dibuat dalam 3 jam
- 24 Juni 2025: 207 akun dibuat dalam 4 jam
- 26 Juni - 11 Juli 2025: 1.525 paket palsu dipublikasikan
- Hari puncak: 30 Juni dengan 740 paket dipublikasikan
- Total dampak: 250+ akun, 1.500+ paket berbahaya
Pemblokiran Domain: Solusi Sementara?
Respons komunitas terhadap pendekatan pemblokiran domain PyPI beragam, dengan banyak yang mempertanyakan efektivitas jangka panjangnya. Para kritikus menunjukkan bahwa strategi ini hanya menghalangi penyerang yang paling amatir, karena akun email dari penyedia utama seperti Gmail dan Outlook dapat dibeli dalam jumlah besar seharga hanya 0,50 dolar Amerika Serikat melalui berbagai pasar online.
Memblokir domain hanya menunjukkan sistem Anda rapuh dan kemungkinan hanya akan mengalihkan penyerang untuk menggunakan domain lain.
Pemblokiran inbox.ru , yang dioperasikan oleh Mail.Ru (penyedia email gratis terbesar di Rusia), telah menimbulkan kekhawatiran tentang kerusakan kolateral pada pengguna yang sah. Ini menandai kedua kalinya PyPI memblokir penyedia email utama, menyusul larangan serupa pada domain Outlook Microsoft pada 2024.
Harga Akun Email di Pasar Gelap:
- Akun Google : $0.50 USD per akun
- Akun email dalam jumlah besar: 25-100+ akun seharga $1 USD
- Pembuatan akun manual: ~36 akun per jam (berdasarkan pola serangan)
Munculnya Slopsquatting
Serangan ini memperkenalkan vektor ancaman baru yang disebut slopsquatting - di mana paket berbahaya dibuat dengan nama yang mungkin salah direkomendasikan oleh model bahasa AI kepada pengguna. Seorang pengguna PyPI pertama kali melaporkan masalah ini setelah bekerja dengan model AI yang menyarankan untuk menginstal paket yang tidak ada, menyoroti bagaimana alat kecerdasan buatan dapat secara tidak sengaja menjadi vektor serangan.
Paket palsu tersebut tidak mengandung malware aktual tetapi berpotensi membajak titik masuk proyek populer, menciptakan kebingungan dan risiko keamanan bagi pengembang yang mungkin secara tidak sengaja menginstalnya alih-alih paket yang sah.
Keterbatasan Sumber Daya Mendorong Langkah Reaktif
Diskusi komunitas mengungkapkan bahwa pendekatan reaktif PyPI sebagian besar berasal dari keterbatasan sumber daya. Platform ini beroperasi dengan sumber daya manusia yang sangat terbatas dan sangat bergantung pada infrastruktur yang disumbangkan dari perusahaan seperti Fastly . Saran untuk tinjauan paket manual - mirip dengan proses verifikasi Maven Central - menghadapi kenyataan bahwa PyPI hanya kekurangan staf untuk menerapkan langkah-langkah tersebut.
Skala masalah menjadi jelas ketika mempertimbangkan bahwa setiap penyerang yang bertekad dapat dengan mudah beralih antara penyedia email, memaksa PyPI ke dalam permainan tanpa akhir seperti pukul tikus mondok. Beberapa anggota komunitas berpendapat bahwa metode deteksi yang lebih canggih, seperti analisis pola pembuatan akun dan perilaku penerbitan, dapat memberikan perlindungan yang lebih baik tanpa memblokir pengguna yang sah.
Pertanyaan yang Lebih Luas Tentang Keamanan Repositori Paket
Insiden ini telah memicu kembali perdebatan tentang model keamanan fundamental repositori paket terbuka. Tidak seperti distribusi Linux , yang biasanya melibatkan pemeriksaan komunitas dan pengawasan pemelihara, platform seperti PyPI dan NPM memungkinkan siapa saja untuk menerbitkan paket dengan hambatan minimal.
Sifat manual serangan - dengan akun dibuat selama beberapa jam daripada melalui skrip otomatis - menunjukkan bahwa bahkan penyalahgunaan yang didorong manusia dapat membanjiri langkah-langkah keamanan saat ini. Hal ini telah membuat beberapa orang mempertanyakan apakah model publikasikan apa saja, kapan saja dapat bertahan di era serangan rantai pasokan yang semakin canggih.
Saat PyPI terus memerangi penyalahgunaan melalui pemblokiran domain, insiden ini berfungsi sebagai pengingat bahwa mengamankan ekosistem paket sumber terbuka memerlukan keseimbangan antara aksesibilitas dengan keamanan - tantangan yang mempengaruhi jutaan pengembang di seluruh dunia.