El repositorio oficial de código fuente abierto para el lenguaje de programación Python, Python Package Index (PyPI), requerirá que todas las cuentas de usuario habiliten la autenticación de dos factores (2FA) para fines de 2023.
The security move may help prevent cyberattackers from compromising maintainer accounts and injecting malicious code into existing legitimate projects, but it's not a silver bullet when it comes to shoring up overall software supply chain security, researchers warn.
"Between now and the end of the year, PyPI will begin gating access to certain site functionality based on 2FA usage," explained PyPI administrator and maintainer Donald Stufft, in a publicación de blog reciente. "In addition, we may begin selecting certain users or projects for early enforcement."
Para implementar 2FA, los mantenedores de paquetes tienen la opción de usar un token de seguridad u otro dispositivo de hardware, o una aplicación de autenticación; y Stufft dijo que se alienta a los usuarios a cambiar al uso de PyPI's Trusted Publishers función o tokens de API para cargar código en PyPI.
Stemming PyPI's Malicious Package Activity
El anuncio se produce en medio de una serie de ataques de ciberdelincuentes que buscan infiltrarse en varios programas y aplicaciones de software con malware que luego puede diseminarse ampliamente. Desde PyPI y otros repositorios como npm y GitHub albergan los componentes básicos que los desarrolladores usan para crear esas ofertas, comprometer sus contenidos es una excelente manera de hacerlo.
Los investigadores dicen que 2FA en particular (que GitHub también se implementó recientemente) ayudará a evitar la toma de control de la cuenta del desarrollador, que es una forma en que los malos actores se enganchan en las aplicaciones.
"Hemos visto ataques de phishing lanzados against the project maintainers for commonly used PyPI packages that are intended to compromise those accounts," says Ashlee Benge, director of threat intelligence advocacy at ReversingLabs. "Once compromised, those accounts can easily be used to push malicious code to the PyPI project in question."
Uno de los escenarios más probables de infección inicial sería que un desarrollador instalara accidentalmente un paquete malicioso, por ejemplo, escribiendo un comando de instalación de Python por error, dice Dave Truman, vicepresidente de riesgo cibernético de Kroll.
"A lot of the malicious packages contain functionality for stealing credentials or browser session cookies and are coded to run on the malicious package being installed," he explains. "At this point, the malware would steal their credentials and sessions which could possibly include logins usable with PyPI. In other words … one developer could allow the actor to pivot to un gran ataque a la cadena de suministro depending on what that developer has access to — 2FA on PyPI would help stop the actor taking advantage of [that]."
Más trabajo de seguridad de la cadena de suministro de software para hacer
ReversingLabs' Benge notes that while PyPI's 2FA requirements are a step in the right direction, more security layers are needed to really lock down the software supply chain. That's because one of the most common ways that cybercriminals leverage software repositories is by cargando sus propios paquetes maliciosos con la esperanza de engañar a los desarrolladores para que los introduzcan en su software.
Después de todo, cualquiera puede registrarse para obtener una cuenta PyPI, sin hacer preguntas.
These efforts usually involve mundane social-engineering tactics, she says: "Typosquatting es común — for example, naming a package 'djanga' (containing malicious code) versus 'django' (the legitimate and commonly used library)."
Another tactic is to hunt for abandoned projects to bring back to life. "A formerly benign project is abandoned, removed, and then repurposed for hosting malware, como con termcolor," she explains. This recycling approach offers malicious actors the benefit of using the former project's legitimate reputation to lure in developers.
"Adversaries are continually figuring out multiple ways to hacer que los desarrolladores usen paquetes maliciosos, which is why it's critical for Python and other programming languages with software repositories like PyPi to have a comprehensive software supply chain approach to security," says Javed Hasan, CEO and co-founder, Lineaje.
Además, hay varias formas de derrotar a 2FA, señala Benge, que incluyen Intercambio de SIM, explotación de OIDC y secuestro de sesiones. Si bien estos tienden a requerir mucho trabajo, los atacantes motivados aún se tomarán la molestia de tratar de evitar MFA y, ciertamente, 2FA, dice.
"Such attacks require much higher levels of engagement by attackers and many additional steps that will deter less motivated threat actors, but compromising an organization's supply chain offers a potentially huge payoff for threat actors, and many may decide that the extra effort is worth it," she says.
Si bien los repositorios toman medidas para hacer que sus entornos sean más seguros, las organizaciones y los desarrolladores deben tomar sus propias precauciones, aconseja Hasan.
"Organizations need modern supply chain tamper detection tools that help companies break down what's in their software and avoid deployment of unknown and dangerous components," he says. Also, efforts like listas de materiales de software (SBOM) y gestión de superficie de ataque va a ayudar.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoAiStream. Inteligencia de datos Web3. Conocimiento amplificado. Accede Aquí.
- Acuñando el futuro con Adryenn Ashley. Accede Aquí.
- Compra y Vende Acciones en Empresas PRE-IPO con PREIPO®. Accede Aquí.
- Fuente: https://www.darkreading.com/application-security/pypi-2fa-requirements-dont-go-far-enough
- :posee
- :es
- :no
- $ UP
- 2023
- 2FA
- a
- de la máquina
- Mi Cuenta
- adquisición de cuenta
- Cuentas
- los actores
- adición
- Adicionales
- Ventaja
- defensa
- en contra
- Todos
- permitir
- también
- en medio de
- an
- y
- Anuncio
- nadie
- abejas
- applicación
- enfoque
- aplicaciones
- somos
- en torno a
- At
- ataques
- Autenticación
- evitar
- Atrás
- Malo
- basado
- BE
- porque
- comenzar
- "Ser"
- es el beneficio
- entre
- Billetes
- Bloques
- Blog
- Descanso
- llevar
- cada navegador
- build
- Construir la
- pero
- by
- PUEDEN
- ceo
- a ciertos
- ciertamente
- cadena
- Co-founder
- código
- codificado
- proviene
- Algunos
- comúnmente
- Empresas
- componentes
- exhaustivo
- compromiso
- Comprometida
- comprometer
- contenido
- continuamente
- galletas
- podría
- Referencias
- crítico
- ciberdelincuentes
- peligroso
- David
- decidir
- Dependiente
- despliegue
- Detección
- Developer
- desarrolladores
- dispositivo
- dirección
- Director
- Django
- do
- don
- Donald
- DE INSCRIPCIÓN
- Temprano en la
- pasan fácilmente
- esfuerzo
- esfuerzos
- ya sea
- habilitar
- ser dado
- final
- cumplimiento
- de su negocio.
- suficientes
- ambientes
- Éter (ETH)
- ejemplo
- existente
- explicado
- Explica
- explotación
- extra
- muchos
- Feature
- Ex
- antes
- en
- a la fatiga
- obtener
- GitHub
- Go
- maravillosa
- Materiales
- dispositivo de hardware
- Tienen
- he
- ayuda
- más alto
- Manos
- espera
- hosting
- Hogar
- HTTPS
- enorme
- Caza
- implementar
- in
- En otra
- incluir
- Incluye
- índice
- infección
- inicial
- instalar
- instalando
- Intelligence
- Destinado a
- dentro
- involucrar
- IT
- jpg
- mano de obra
- idioma
- Idiomas
- ponedoras
- legítima
- menos
- Apalancamiento
- Biblioteca
- Vida
- como
- que otros
- mirando
- Lote
- gran
- para lograr
- el malware
- muchos
- materiales
- Puede..
- MFA
- Error
- Moderno
- más,
- MEJOR DE TU
- motivado
- movimiento
- mucho más
- múltiples
- nombrando
- ¿ Necesita ayuda
- no
- Notas
- ahora
- of
- Lista de ofrendas
- Ofertas
- oficial
- on
- una vez
- ONE
- habiertos
- de código abierto
- Optión
- or
- organización
- para las fiestas.
- Otro
- salir
- total
- EL DESARROLLADOR
- paquete
- paquetes
- particular
- Pivot
- Platón
- Inteligencia de datos de Platón
- PlatónDatos
- punto
- posiblemente
- la posibilidad
- presidente
- evitar
- Programación
- lenguajes de programación
- Programas
- proyecto
- proyecta
- tracción
- Push
- Python
- pregunta
- Preguntas
- realmente
- recientemente
- reciclaje
- Remoto
- repositorio
- reputación
- exigir
- Requisitos
- investigadores
- Derecho
- Ejecutar
- s
- Safer
- Said
- dices
- dice
- escenarios
- EN LINEA
- token de seguridad
- visto
- seleccionar
- Sesión
- sesiones
- ella
- firmar
- Silver
- desde
- página web
- Software
- Fuente
- código fuente
- paso
- pasos
- Sin embargo
- Detener
- tal
- suministro
- cadena de suministro
- Superficie
- Switch
- táctica
- ¡Prepárate!
- toma de posesión
- toma
- esa
- El
- su
- Les
- luego
- Ahí.
- Estas
- así
- aquellos
- amenaza
- actores de amenaza
- inteligencia de amenazas
- a
- ficha
- Tokens
- problema
- de confianza
- desconocido
- usable
- Uso
- utilizan el
- usado
- Usuario
- usuarios
- usando
- generalmente
- diversos
- Ve
- Versus
- Vice Presidenta
- Camino..
- formas
- we
- ¿
- cuando
- que
- mientras
- porque
- extensamente
- seguirá
- palabras
- Actividades:
- valor
- se
- año
- zephyrnet