В июне 2025 года администрация репозитория Python-пакетов PyPI временно заблокировала регистрацию с электронных адресов домена inbox.ru, что вызвало обеспокоенность среди разработчиков и пользователей. Блокировка была введена в ответ на массовую спам-кампанию, в рамках которой было зарегистрировано более 250 аккаунтов, а также размещено более 1500 фальшивых проектов. Эти действия ставили под угрозу безопасность пользователей PyPI, поскольку фальшивые пакеты могли ввести в заблуждение разработчиков и привести к внедрению вредоносных компонентов в код.
Однако позже выяснилось, что причина блокировки была не связана с действиями злоумышленников, а была частью внутренней проверки безопасности, проведенной компанией VK, владельцем домена inbox.ru. Служба безопасности VK инициировала эти меры с целью предотвратить возможные злоупотребления и атакующие действия, которые могли быть осуществлены через внешние библиотеки, используемые в их экосистемах. Проверка была направлена на выявление уязвимостей в структуре репозитория и предотвращение использования PyPI для атак.
После проведения расследования и обсуждения ситуации с представителями VK администрация PyPI официально сняла блокировку и восстановила возможность регистрации новых аккаунтов и добавления электронных адресов inbox.ru. В официальном заявлении PyPI было указано, что команда продолжит внимательно следить за активностью и, в случае повторных попыток злоупотреблений, примет дополнительные меры для защиты пользователей и обеспечения безопасности репозитория.
