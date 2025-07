Россиян погнали из сообщества Python. Пока только избранных, но критерии отбора до предела странные

Россиянам запретили пользоваться репозиторием PyPI с пакетами для Python. Ограничения коснулись только тех, кто создает новый аккаунт с привязкой почты на inbox.ru и тех, кто хочет добавить такую почту в уже существующий профиль. Домен принадлежит Mail.ru. На другие домены компании лимиты пока не распространяются.

Дискриминация по почтовому ящику

Репозиторий PyPI закрыл свои двери пользователей, чья почта зарегистрирована на домене inbox.ru. Администрация ресурса аргументировала это тем, что с соответствующих ящиков льется волна спама, хотя и не совсем в привычном понимании этого слова.

Inbox.ru – это домен, с недавних пор принадлежащий холдингу VK после покупки Mail.ru. В Mail.ru этот домен находился годами Как ни странно, но другие связанные с сервисом домены, включая bk.ru, list.ru и, собственно, mail.ru, пока не в черном списке.

Напомним, PyPI или Python Package Index – это официальное и крупнейшее хранилище сторонних пакетов для языка программирования Python. Последний с октября 2021 г. является самым популярным в мире по версии Tiobe. В PyPI содержатся самые разные пакеты – библиотеки, среды разработки и многое другое.

Владельцам почты на inbox.ru отныне больше нельзя регистрировать новые проекты на PiPy, а также указывать ее в качестве дополнительно адреса на существующих проектах.

Спам по-новому

Весь мир привык, что спам – это мусорные и вредоносные письма на электронной почте, для которой есть соответствующая папка в почтовом ящике. Но у администрации PyPI другое понимание этого термина.

В официальном заявлении сказано, что с почтовых ящиков inbox.ru пришла волна спама – пользователи с такой почтой создали 250 профилей и добавили к ним свыше полутора тысяч проектов, которые якобы «обманывают пользователей и представляют угрозу безопасности» (leading to end-user confusion, abuse of resources, and potential security issues).

Заявление администрации PyPi

Как пишет отечественный портал OpenNET, все эти проекты были созданы для резервирования имен библиотек, которых не существует. У этого явления даже есть собственное название – слопсквоттинг или Slopsquatting.

Технически, слопсквоттинг представляет собой разновидность киберсквоттинга – регистрации доменных имен, например, с названием крупной компании, с целью их последующей продажи. Нужен слопсквоттинг для того, чтобы затем несуществующие библиотеки выдавались в качестве рекомендаций большими языковыми моделями.

Всего лишь подозрения

В заявлении администрации PyPi сказано, что все без исключения проекты, созданные под 250 профилями на inbox.ru ныне удалены. Аккаунтам тоже досталось – их заблокировали.

Известно лишь, что на момент удаления и блокировок в проектах не было ни строчки кода. «Так что это не был случай вредоносного ПО», – говорится в заявлении (this wasn't a case of malware).

Но, как пишет OpenNET, в дальнейшем эти репозитории все же могли бы использоваться для хакерских атак « на пользователей, слепо следующих рекомендациям чат-ботов или ошибающихся при написании названий пакетов».

В качестве примера портал привел создание пакетов с названиями программ командной строки для атаки на проекты, «названия библиотек и утилит в которых отличаются». Эффективность такого метода уже доказана в рамках исследования на примере нейросети ChatGPT, которая без зазрения виртуальной совести рекомендовала несуществующую библиотеку huggingface‑cli и ее установку посредством команды pip install huggingface‑cli.

По сути, исследователь сделал то же, что и те, кто создавал профили с почтой на inbox.ru, только в меньших масштабах – он создал пустой проект на PyPi с названием этой библиотеки, и всего за три месяца ее скачали свыше 30 тыс. раз.

Администрация PiPy тоже склонна полагать, что трюк с пустыми проектами – это задел на будущее. «Похоже, эта схема соответствует созданию большого количества учетных записей, подтверждению доступа и последующему проведению крупномасштабной «атаки». Возможно, это была «тренировка» для будущей атаки, в зависимости от успешности кампании», – сказано в заявлении.