Source: blog.pypi.org — Bilan officiel 2025 par l’équipe PyPI.

PyPI met la sécurité au premier plan en 2025 avec des améliorations majeures: 2FA renforcée contre le phishing (vérification email pour TOTP), Trusted Publishing étendu (support GitLab Self‑Managed et émetteurs OIDC personnalisés) et attestations pour renforcer la chaîne d’approvisionnement logicielle. Adoption notable: >52% d’utilisateurs actifs avec 2FA non‑phishable, >50 000 projets en trusted publishing, >20% des uploads via trusted publishers, et 17% des uploads accompagnés d’une attestation.

Des mesures proactives ont été déployées pour durcir l’écosystème: détection d’hameçonnage (alertes sur domaines non fiables), sécurisation ZIP côté upload, détection de typosquatting à la création de projets, prévention de résurrection de domaines, et actions anti‑spam. 🔒

Transparence et incidents: l’équipe publie des rapports détaillés sur plusieurs événements notables, dont: un problème de persistance de privilèges dans les équipes d’organisations; une campagne de phishing d’ampleur visant des utilisateurs PyPI; une exfiltration de jetons via GitHub Actions; et les implications potentielles de l’attaque « Shai‑Hulud » (écosystème npm). 🧩

Réponse au malware et support: >2000 signalements de malware traités; 66% résolus en <4h, 92% en <24h, avec un maximum de 4 jours pour les cas complexes. Côté support, 2221 récupérations de comptes réussies et >500 demandes PEP 541 (rétention de noms), avec un premier tri en <1 semaine et un backlog résorbé en décembre.

Organisation et expérience mainteneur: 7742 organisations créées, 9059 projets gérés par des organisations. Nouvelles fonctionnalités: archivage de projet (aligné sur PEP 792) et nouvelles conditions d’utilisation. L’article est une rétrospective visant à informer sur les avancées sécurité et l’état opérationnel de PyPI.

TTPs mentionnées:

  • Phishing ciblant les utilisateurs PyPI
  • Typosquatting à la création de projets
  • Exfiltration de jetons via pipelines CI (GitHub Actions)
  • Attaques via archives ZIP malveillantes
  • Attaques de « résurrection de domaine »

IOCs:

  • Aucun IOC fourni dans l’article.

🔗 Source originale : https://blog.pypi.org/posts/2025-12-31-pypi-2025-in-review/

🖴 Archive : https://web.archive.org/web/20260102133953/https://blog.pypi.org/posts/2025-12-31-pypi-2025-in-review/