سيتطلب مستودع الشفرة مفتوح المصدر الرسمي للغة برمجة Python ، Python Package Index (PyPI) ، من جميع حسابات المستخدمين تمكين المصادقة الثنائية (2FA) بحلول نهاية عام 2023.
The security move may help prevent cyberattackers from compromising maintainer accounts and injecting malicious code into existing legitimate projects, but it's not a silver bullet when it comes to shoring up overall software supply chain security, researchers warn.
"Between now and the end of the year, PyPI will begin gating access to certain site functionality based on 2FA usage," explained PyPI administrator and maintainer Donald Stufft, in a آخر نشر بلوق. "In addition, we may begin selecting certain users or projects for early enforcement."
لتنفيذ المصادقة الثنائية (2FA) ، يتوفر لمشرفي الحزم خيار استخدام رمز أمان أو جهاز آخر أو تطبيق مصادقة ؛ وقال Stufft إنه يتم تشجيع المستخدمين على التبديل إلى استخدام أي منهما PyPI's Trusted Publishers ميزة أو رموز API لتحميل التعليمات البرمجية إلى PyPI.
Stemming PyPI's Malicious Package Activity
يأتي هذا الإعلان وسط سلسلة من الهجمات التي يشنها مجرمو الإنترنت الذين يتطلعون إلى التسلل إلى برامج وتطبيقات مختلفة ببرامج ضارة يمكن نشرها على نطاق واسع. منذ PyPI و مستودعات أخرى مثل npm و GitHub يضم اللبنات الأساسية التي يستخدمها المطورون لبناء تلك العروض ، ويعتبر المساس بمحتوياتهم طريقة رائعة للقيام بذلك.
يقول الباحثون أن 2FA على وجه الخصوص (التي تم تنفيذ GitHub أيضًا مؤخرًا) سيساعد في منع الاستيلاء على حساب المطور ، وهي إحدى الطرق التي يستخدمها الفاعلون السيئون لتوصيلهم بالتطبيقات.
"لقد رأينا تم إطلاق هجمات التصيد الاحتيالي against the project maintainers for commonly used PyPI packages that are intended to compromise those accounts," says Ashlee Benge, director of threat intelligence advocacy at ReversingLabs. "Once compromised, those accounts can easily be used to push malicious code to the PyPI project in question."
يقول ديف ترومان ، نائب رئيس المخاطر الإلكترونية في كرول ، إن أحد أكثر السيناريوهات المحتملة للعدوى الأولية هو قيام المطور بتثبيت حزمة ضارة عن طريق الخطأ ، على سبيل المثال ، كتابة أمر تثبيت Python عن طريق الخطأ.
"A lot of the malicious packages contain functionality for stealing credentials or browser session cookies and are coded to run on the malicious package being installed," he explains. "At this point, the malware would steal their credentials and sessions which could possibly include logins usable with PyPI. In other words … one developer could allow the actor to pivot to هجوم كبير على سلسلة التوريد depending on what that developer has access to — 2FA on PyPI would help stop the actor taking advantage of [that]."
المزيد من أعمال أمان سلسلة إمداد البرامج التي يتعين القيام بها
ReversingLabs' Benge notes that while PyPI's 2FA requirements are a step in the right direction, more security layers are needed to really lock down the software supply chain. That's because one of the most common ways that cybercriminals leverage software repositories is by تحميل الحزم الخبيثة الخاصة بهم على أمل خداع المطورين لجذبهم إلى برامجهم.
بعد كل شيء ، يمكن لأي شخص التسجيل للحصول على حساب PyPI ، دون طرح أي أسئلة.
These efforts usually involve mundane social-engineering tactics, she says: "تيبوسكواتينج أمر شائع — for example, naming a package 'djanga' (containing malicious code) versus 'django' (the legitimate and commonly used library)."
Another tactic is to hunt for abandoned projects to bring back to life. "A formerly benign project is abandoned, removed, and then repurposed for hosting malware, مثل مع termcolour," she explains. This recycling approach offers malicious actors the benefit of using the former project's legitimate reputation to lure in developers.
"Adversaries are continually figuring out multiple ways to حث المطورين على استخدام الحزم الخبيثة, which is why it's critical for Python and other programming languages with software repositories like PyPi to have a comprehensive software supply chain approach to security," says Javed Hasan, CEO and co-founder, Lineaje.
أيضًا ، هناك طرق متعددة لهزيمة 2FA ، يلاحظ Benge ، بما في ذلك مبادلة SIMواستغلال OIDC واختطاف الجلسة. بينما تميل هذه إلى أن تكون كثيفة العمالة ، إلا أن المهاجمين المتحمسين سيظلون يواجهون مشكلة محاولة الالتفاف حول أسلوب العائالت المتعددة (MFA) وبالتأكيد المصادقة الثنائية (2FA) ، كما تقول.
"Such attacks require much higher levels of engagement by attackers and many additional steps that will deter less motivated threat actors, but compromising an organization's supply chain offers a potentially huge payoff for threat actors, and many may decide that the extra effort is worth it," she says.
بينما تتخذ المستودعات خطوات لجعل بيئاتها أكثر أمانًا ، يتعين على المؤسسات والمطورين اتخاذ الاحتياطات الخاصة بهم ، كما يقول حسن.
"Organizations need modern supply chain tamper detection tools that help companies break down what's in their software and avoid deployment of unknown and dangerous components," he says. Also, efforts like فواتير مواد البرمجيات (SBOMs) و إدارة سطح الهجوم يمكن أن تساعد.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- أفلاطونايستريم. ذكاء بيانات Web3. تضخيم المعرفة. الوصول هنا.
- سك المستقبل مع أدرين أشلي. الوصول هنا.
- شراء وبيع الأسهم في شركات ما قبل الاكتتاب مع PREIPO®. الوصول هنا.
- المصدر https://www.darkreading.com/application-security/pypi-2fa-requirements-dont-go-far-enough
- :لديها
- :يكون
- :ليس
- $ UP
- 2023
- 2FA
- a
- الوصول
- حسابي
- الاستيلاء على الحساب
- الحسابات
- الجهات الفاعلة
- إضافة
- إضافي
- مميزات
- الدعوة
- ضد
- الكل
- السماح
- أيضا
- وسط
- an
- و
- اشعارات
- أي شخص
- API
- التطبيق
- نهج
- التطبيقات
- هي
- حول
- At
- الهجمات
- التحقّق من المُستخدم
- تجنب
- الى الخلف
- سيئة
- على أساس
- BE
- لان
- بدأ
- يجري
- تستفيد
- ما بين
- فواتير
- Blocks
- المدونة
- استراحة
- جلب
- المتصفح
- نساعدك في بناء
- ابني
- لكن
- by
- CAN
- الرئيس التنفيذي
- معين
- بالتأكيد
- سلسلة
- المؤسس المشارك
- الكود
- مشفرة
- يأتي
- مشترك
- عادة
- الشركات
- مكونات
- شامل
- حل وسط
- تسوية
- مساومة
- محتويات
- باستمرار
- ملفات تعريف الارتباط ( الكوكيز )
- استطاع
- أوراق اعتماد
- حرج
- مجرمو الإنترنت
- خطير
- ديف
- تقرر
- اعتمادا
- نشر
- كشف
- المطور
- المطورين
- جهاز
- اتجاه
- مدير المدارس
- جانغو
- do
- دون
- دونالد
- إلى أسفل
- في وقت مبكر
- بسهولة
- جهد
- جهود
- إما
- تمكين
- شجع
- النهاية
- تطبيق
- اشتباك
- كاف
- البيئات
- الأثير (ETH)
- مثال
- القائمة
- شرح
- ويوضح
- استغلال
- احتفل على
- بعيدا
- الميزات
- في حالة
- سابق
- سابقا
- تبدأ من
- وظيفة
- دولار فقط واحصل على خصم XNUMX% على جميع
- GitHub جيثب:
- Go
- عظيم
- أجهزة التبخير
- جهاز
- يملك
- he
- مساعدة
- أعلى
- السنانير
- تأمل
- استضافة
- منـزل
- HTTPS
- ضخم
- مطاردة
- تنفيذ
- in
- في أخرى
- تتضمن
- بما فيه
- مؤشر
- عدوى
- في البداية
- تثبيت
- تركيب
- رؤيتنا
- معد
- إلى
- تنطوي
- IT
- JPG
- عمل
- لغة
- اللغات
- طبقات
- شرعي
- أقل
- ومستوياتها
- الرافعة المالية
- المكتبة
- الحياة
- مثل
- على الأرجح
- أبحث
- الكثير
- رائد
- جعل
- البرمجيات الخبيثة
- كثير
- المواد
- مايو..
- MFA
- خطأ
- تقدم
- الأكثر من ذلك
- أكثر
- الدافع
- خطوة
- كثيرا
- متعدد
- تسمية
- حاجة
- بحاجة
- لا
- ملاحظة
- الآن
- of
- عروض
- عروض
- رسمي
- on
- مرة
- ONE
- جاكيت
- المصدر المفتوح
- خيار
- or
- منظمة
- المنظمات
- أخرى
- خارج
- الكلي
- الخاصة
- صفقة
- حزم
- خاص
- محور
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- البوينت
- ربما
- يحتمل
- رئيس
- منع
- برمجة وتطوير
- لغات البرمجة
- البرامج
- تنفيذ المشاريع
- مشروع ناجح
- سحب
- دفع
- بايثون
- سؤال
- الأسئلة المتكررة
- في الحقيقة
- مؤخرا
- إعادة التدوير
- إزالة
- مستودع
- سمعة
- تطلب
- المتطلبات الأساسية
- الباحثين
- حق
- يجري
- s
- أكثر أمانا
- قال
- قول
- يقول
- سيناريوهات
- أمن
- رمز الأمان
- رأيت
- اختيار
- الجلسة
- دورات
- هي
- إشارة
- فضي
- منذ
- الموقع
- تطبيقات الكمبيوتر
- مصدر
- شفرة المصدر
- خطوة
- خطوات
- لا يزال
- قلة النوم
- هذه
- تزويد
- سلسلة التوريد
- المساحة
- مفاتيح
- التكتيكات
- أخذ
- استيلاء
- مع الأخذ
- أن
- •
- من مشاركة
- منهم
- then
- هناك.
- تشبه
- هؤلاء
- التهديد
- الجهات التهديد
- استخبارات التهديد
- إلى
- رمز
- الرموز
- أدوات
- مشكلة
- افضل
- غير معروف
- صالح للإستعمال
- الأستعمال
- تستخدم
- مستعمل
- مستخدم
- المستخدمين
- استخدام
- عادة
- مختلف
- Ve
- مقابل
- Vice President
- طريق..
- طرق
- we
- ابحث عن
- متى
- التي
- في حين
- لماذا
- على نحو واسع
- سوف
- مع
- كلمات
- للعمل
- قيمة
- سوف
- عام
- زفيرنت