Det officielle open source-kodelager for Python-programmeringssproget, Python Package Index (PyPI), vil kræve, at alle brugerkonti aktiverer to-faktor-godkendelse (2FA) inden udgangen af 2023.
Sikkerhedsbevægelsen kan hjælpe med at forhindre cyberangribere i at kompromittere vedligeholderkonti og injicere ondsindet kode i eksisterende legitime projekter, men det er ikke en sølvkugle, når det kommer til at styrke den overordnede softwareforsyningskædesikkerhed, advarer forskere.
"Mellem nu og slutningen af året vil PyPI begynde at få adgang til visse webstedsfunktioner baseret på 2FA-brug," forklarede PyPI-administrator og vedligeholder Donald Stufft i en seneste blogindlæg. "Derudover kan vi begynde at udvælge visse brugere eller projekter til tidlig håndhævelse."
For at implementere 2FA har pakkevedligeholdere mulighed for at bruge et sikkerhedstoken eller anden hardwareenhed eller en godkendelsesapp; og Stufft sagde, at brugerne opfordres til at skifte til at bruge enten PyPI's Trusted Publishers funktion eller API-tokens for at uploade kode til PyPI.
Stemming af PyPIs ondsindede pakkeaktivitet
Meddelelsen kommer midt i et væld af angreb fra cyberkriminelle, der ønsker at infiltrere forskellige softwareprogrammer og apps med malware, som derefter kan blive bredt udbredt. Siden PyPI og andre depoter som npm og GitHub rummer de byggeklodser, som udviklere bruger til at bygge disse tilbud, at kompromittere deres indhold er en fantastisk måde at gøre det på.
Forskere siger, at især 2FA (som GitHub er også implementeret for nylig) vil hjælpe med at forhindre overtagelse af udviklerkonto, hvilket er en måde, hvorpå dårlige skuespillere får deres hooks ind i apps.
"Vi har set phishing-angreb iværksat mod projektets vedligeholdere for almindeligt brugte PyPI-pakker, der er beregnet til at kompromittere disse konti," siger Ashlee Benge, direktør for trusselsefterretningsvirksomhed hos ReversingLabs. "Når de er kompromitteret, kan disse konti nemt bruges til at skubbe ondsindet kode til det pågældende PyPI-projekt ."
Et af de mest sandsynlige scenarier for indledende infektion ville være en udvikler, der ved et uheld installerer en ondsindet pakke, for eksempel ved at skrive en Python-installationskommando ved en fejl, siger Dave Truman, vicepræsident for cyber-risk hos Kroll.
"Mange af de ondsindede pakker indeholder funktionalitet til at stjæle legitimationsoplysninger eller browsersessionscookies og er kodet til at køre på den ondsindede pakke, der installeres," forklarer han. "På dette tidspunkt ville malwaren stjæle deres legitimationsoplysninger og sessioner, hvilket muligvis kunne omfatte logins, der kan bruges med PyPI. Med andre ord... en udvikler kunne tillade skuespilleren at dreje til et stort forsyningskædeangreb afhængigt af, hvad den pågældende udvikler har adgang til - 2FA på PyPI ville hjælpe med at forhindre skuespilleren i at udnytte [det]."
Mere arbejde med softwareforsyningskædesikkerhed
ReversingLabs' Benge bemærker, at selvom PyPIs 2FA-krav er et skridt i den rigtige retning, er der behov for flere sikkerhedslag for virkelig at låse softwareforsyningskæden. Det skyldes, at en af de mest almindelige måder, som cyberkriminelle udnytter softwarelagre, er uploader deres egne ondsindede pakker i håb om at narre udviklere til at trække dem ind i deres software.
Når alt kommer til alt, kan enhver tilmelde sig en PyPI-konto, uden at stille spørgsmål.
Disse bestræbelser involverer normalt verdslige socialtekniske taktikker, siger hun: "Typosquatting er almindelig — for eksempel at navngive en pakke 'djanga' (indeholder ondsindet kode) versus 'django' (det legitime og almindeligt anvendte bibliotek)."
En anden taktik er at gå på jagt efter forladte projekter for at bringe livet tilbage. "Et tidligere godartet projekt bliver opgivet, fjernet og derefter genbrugt til hosting af malware, gerne med termcolour," forklarer hun. Denne genbrugstilgang giver ondsindede aktører fordelen ved at bruge det tidligere projekts legitime omdømme til at lokke udviklere til sig.
"Modstandere finder hele tiden ud af flere måder at gøre det på få udviklere til at bruge ondsindede pakker, og derfor er det afgørende for Python og andre programmeringssprog med softwarelagre som PyPi at have en omfattende softwareforsyningskædetilgang til sikkerhed," siger Javed Hasan, CEO og medstifter, Lineaje.
Der er også flere måder at besejre 2FA, noterer Benge, herunder SIM-bytte, OIDC-udnyttelse og sessionskapring. Selvom disse har en tendens til at være arbejdskrævende, vil motiverede angribere stadig gøre sig den ulejlighed at forsøge at omgå MFA og bestemt 2FA, siger hun.
"Sådanne angreb kræver meget højere niveauer af engagement fra angribere og mange yderligere trin, der vil afskrække mindre motiverede trusselsaktører, men at kompromittere en organisations forsyningskæde giver et potentielt stort udbytte for trusselsaktører, og mange kan beslutte, at den ekstra indsats er det værd. " hun siger.
Mens repositories tager skridt til at gøre deres miljøer sikrere, er organisationer og udviklere nødt til at tage deres egne forholdsregler, råder Hasan.
"Organisationer har brug for moderne værktøjer til manipulation af forsyningskæden, der hjælper virksomheder med at nedbryde, hvad der er i deres software og undgå implementering af ukendte og farlige komponenter," siger han. Også indsatser som softwarestyklister (SBOM'er) , håndtering af angrebsoverfladen kan hjælpe.
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- PlatoAiStream. Web3 Data Intelligence. Viden forstærket. Adgang her.
- Udmøntning af fremtiden med Adryenn Ashley. Adgang her.
- Køb og sælg aktier i PRE-IPO-virksomheder med PREIPO®. Adgang her.
- Kilde: https://www.darkreading.com/application-security/pypi-2fa-requirements-dont-go-far-enough
- :har
- :er
- :ikke
- $OP
- 2023
- 2FA
- a
- adgang
- Konto
- kontoovertagelse
- Konti
- aktører
- Desuden
- Yderligere
- Fordel
- advocacy
- mod
- Alle
- tillade
- også
- midt
- an
- ,
- Fondsbørsmeddelelse
- nogen
- api
- app
- tilgang
- apps
- ER
- omkring
- At
- Angreb
- Godkendelse
- undgå
- tilbage
- Bad
- baseret
- BE
- fordi
- begynde
- være
- gavner det dig
- mellem
- Sedler
- Blocks
- Blog
- Pause
- bringe
- browser
- bygge
- Bygning
- men
- by
- CAN
- Direktør
- vis
- sikkert
- kæde
- Medstifter
- kode
- kodet
- kommer
- Fælles
- almindeligt
- Virksomheder
- komponenter
- omfattende
- kompromis
- Kompromitteret
- at gå på kompromis
- indhold
- løbende
- cookies
- kunne
- Legitimationsoplysninger
- kritisk
- cyberkriminelle
- Dangerous
- Dave
- beslutte
- Afhængigt
- implementering
- Detektion
- Udvikler
- udviklere
- enhed
- retning
- Direktør
- Django
- do
- Don
- donald
- ned
- Tidligt
- nemt
- indsats
- indsats
- enten
- muliggøre
- tilskyndes
- ende
- håndhævelse
- engagement
- nok
- miljøer
- Ether (ETH)
- eksempel
- eksisterende
- forklarede
- Forklarer
- udnyttelse
- ekstra
- langt
- Feature
- Til
- Tidligere
- tidligere
- fra
- funktionalitet
- få
- GitHub
- Go
- stor
- Hardware
- hardwareenhed
- Have
- he
- hjælpe
- højere
- Kroge
- håber
- Hosting
- hus
- HTTPS
- kæmpe
- jagt
- gennemføre
- in
- I andre
- omfatter
- Herunder
- indeks
- infektion
- initial
- installere
- installation
- Intelligens
- beregnet
- ind
- involvere
- IT
- jpg
- arbejdskraft
- Sprog
- Sprog
- lag
- legitim
- mindre
- niveauer
- Leverage
- Bibliotek
- Livet
- ligesom
- Sandsynlig
- leder
- Lot
- større
- lave
- malware
- mange
- materialer
- Kan..
- MFA
- fejltagelse
- Moderne
- mere
- mest
- motiveret
- bevæge sig
- meget
- flere
- navngivning
- Behov
- behov
- ingen
- Noter
- nu
- of
- tilbud
- Tilbud
- officiel
- on
- engang
- ONE
- åbent
- open source
- Option
- or
- organisation
- organisationer
- Andet
- ud
- samlet
- egen
- pakke
- pakker
- særlig
- Pivot
- plato
- Platon Data Intelligence
- PlatoData
- Punkt
- eventuelt
- potentielt
- præsident
- forhindre
- Programmering
- programmeringssprog
- Programmer
- projekt
- projekter
- trækker
- Skub ud
- Python
- spørgsmål
- Spørgsmål
- virkelig
- for nylig
- genbrug
- fjernet
- Repository
- omdømme
- kræver
- Krav
- forskere
- højre
- Kør
- s
- sikrere
- Said
- siger
- siger
- scenarier
- sikkerhed
- sikkerhedsbogstav
- set
- udvælgelse
- Session
- sessioner
- hun
- underskrive
- Sølv
- siden
- websted
- Software
- Kilde
- kildekode
- Trin
- Steps
- Stadig
- Stands
- sådan
- forsyne
- forsyningskæde
- overflade
- Kontakt
- taktik
- Tag
- overtage
- tager
- at
- deres
- Them
- derefter
- Der.
- Disse
- denne
- dem
- trussel
- trusselsaktører
- trussel intelligens
- til
- token
- Tokens
- værktøjer
- problemer
- betroet
- ukendt
- brugbar
- Brug
- brug
- anvendte
- Bruger
- brugere
- ved brug af
- sædvanligvis
- forskellige
- Ve
- versus
- Vice President
- Vej..
- måder
- we
- Hvad
- hvornår
- som
- mens
- hvorfor
- bredt
- vilje
- med
- ord
- Arbejde
- værd
- ville
- år
- zephyrnet