Pythoni programmeerimiskeele ametlik avatud lähtekoodi hoidla Python Package Index (PyPI) nõuab, et kõik kasutajakontod võimaldaksid 2. aasta lõpuks kahefaktorilist autentimist (2023FA).
The security move may help prevent cyberattackers from compromising maintainer accounts and injecting malicious code into existing legitimate projects, but it's not a silver bullet when it comes to shoring up overall software supply chain security, researchers warn.
"Between now and the end of the year, PyPI will begin gating access to certain site functionality based on 2FA usage," explained PyPI administrator and maintainer Donald Stufft, in a hiljutine ajaveebi postitus. "In addition, we may begin selecting certain users or projects for early enforcement."
2FA rakendamiseks on pakettide hooldajatel võimalus kasutada turvamärki või muud riistvaraseadet või autentimisrakendust; ja Stufft ütles, et kasutajaid julgustatakse kasutama mõlemat PyPI's Trusted Publishers funktsiooni või API märgid koodi PyPI-sse üleslaadimiseks.
Stemming PyPI's Malicious Package Activity
Teade tuleb keset küberkurjategijate rünnakuid, kes soovivad imbuda erinevatesse tarkvaraprogrammidesse ja rakendustesse pahavaraga, mida saab seejärel laialdaselt levitada. Kuna PyPI ja muud hoidlad nagu npm ja GitHub sisaldab ehitusplokke, mida arendajad nende pakkumiste koostamiseks kasutavad. Nende sisu kahjustamine on suurepärane viis selleks.
Teadlased ütlevad, et eriti 2FA (mis Hiljuti juurutati ka GitHub) aitab vältida arendajakontode ülevõtmist, mis on üks viis, kuidas halvad näitlejad rakendustesse haaravad.
"Oleme näinud käivitatud andmepüügirünnakud against the project maintainers for commonly used PyPI packages that are intended to compromise those accounts," says Ashlee Benge, director of threat intelligence advocacy at ReversingLabs. "Once compromised, those accounts can easily be used to push malicious code to the PyPI project in question."
Üks kõige tõenäolisemaid esialgse nakatumise stsenaariume oleks see, kui arendaja installib kogemata pahatahtliku paketi, näiteks tippides kogemata Pythoni installikäsu, ütleb Dave Truman, Krolli küberriskide asepresident.
"A lot of the malicious packages contain functionality for stealing credentials or browser session cookies and are coded to run on the malicious package being installed," he explains. "At this point, the malware would steal their credentials and sessions which could possibly include logins usable with PyPI. In other words … one developer could allow the actor to pivot to suur tarneahela rünnak depending on what that developer has access to — 2FA on PyPI would help stop the actor taking advantage of [that]."
Rohkem tarkvara tarneahela turbetööd
ReversingLabs' Benge notes that while PyPI's 2FA requirements are a step in the right direction, more security layers are needed to really lock down the software supply chain. That's because one of the most common ways that cybercriminals leverage software repositories is by oma pahatahtlike pakettide üleslaadimine lootuses petta arendajaid oma tarkvarasse tõmbama.
Lõppude lõpuks saab igaüks registreerida PyPI konto, ilma küsimusi esitamata.
These efforts usually involve mundane social-engineering tactics, she says: "Tiposquatting on tavaline — for example, naming a package 'djanga' (containing malicious code) versus 'django' (the legitimate and commonly used library)."
Another tactic is to hunt for abandoned projects to bring back to life. "A formerly benign project is abandoned, removed, and then repurposed for hosting malware, nagu termcoloriga," she explains. This recycling approach offers malicious actors the benefit of using the former project's legitimate reputation to lure in developers.
"Adversaries are continually figuring out multiple ways to panna arendajad kasutama pahatahtlikke pakette, which is why it's critical for Python and other programming languages with software repositories like PyPi to have a comprehensive software supply chain approach to security," says Javed Hasan, CEO and co-founder, Lineaje.
Benge märgib, et 2FA alistamiseks on ka mitmeid viise, sealhulgas SIM-kaardi vahetus, OIDC ärakasutamine ja seansi kaaperdamine. Kuigi need on tavaliselt töömahukad, näevad motiveeritud ründajad siiski vaeva MFA ja kindlasti ka 2FA ümber töötamisega, ütleb ta.
"Such attacks require much higher levels of engagement by attackers and many additional steps that will deter less motivated threat actors, but compromising an organization's supply chain offers a potentially huge payoff for threat actors, and many may decide that the extra effort is worth it," she says.
Kuigi hoidlad astuvad samme oma keskkonna turvalisemaks muutmiseks, peavad organisatsioonid ja arendajad rakendama oma ettevaatusabinõusid, soovitab Hasan.
"Organizations need modern supply chain tamper detection tools that help companies break down what's in their software and avoid deployment of unknown and dangerous components," he says. Also, efforts like tarkvara materjaliarved (SBOM) ja rünnakupinna haldamine aitab.
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- PlatoAiStream. Web3 andmete luure. Täiustatud teadmised. Juurdepääs siia.
- Tuleviku rahapaja Adryenn Ashley. Juurdepääs siia.
- Ostke ja müüge IPO-eelsete ettevõtete aktsiaid koos PREIPO®-ga. Juurdepääs siia.
- Allikas: https://www.darkreading.com/application-security/pypi-2fa-requirements-dont-go-far-enough
- :on
- :on
- :mitte
- $ UP
- 2023
- 2FA
- a
- juurdepääs
- konto
- konto ülevõtmine
- Kontod
- osalejad
- lisamine
- Täiendavad lisad
- ADEelis
- propageerimise
- vastu
- Materjal: BPA ja flataatide vaba plastik
- võimaldama
- Ka
- keset
- an
- ja
- Teadaanne
- keegi
- API
- app
- lähenemine
- apps
- OLEME
- ümber
- At
- Reageerib
- Autentimine
- vältima
- tagasi
- Halb
- põhineb
- BE
- sest
- alustama
- on
- kasu
- vahel
- Arved
- Plokid
- Blogi
- Murdma
- tooma
- brauseri
- ehitama
- Ehitus
- kuid
- by
- CAN
- tegevjuht
- kindel
- kindlasti
- kett
- Asutaja
- kood
- kodeeritud
- tuleb
- ühine
- tavaliselt
- Ettevõtted
- komponendid
- terviklik
- kompromiss
- Kompromissitud
- kompromiteeriv
- sisu
- jätkuvalt
- küpsised
- võiks
- volikiri
- kriitiline
- küberkurjategijad
- Ohtlik
- Dave
- otsustama
- Olenevalt
- kasutuselevõtu
- Detection
- arendaja
- Arendajad
- seade
- suund
- Juhataja
- Django
- do
- don
- donald
- alla
- Varajane
- kergesti
- jõupingutusi
- jõupingutusi
- kumbki
- võimaldama
- julgustada
- lõpp
- jõustamine
- tegevus
- piisavalt
- keskkondades
- Eeter (ETH)
- näide
- olemasolevate
- selgitas
- Selgitab
- kasutamine
- lisatasu
- kaugele
- tunnusjoon
- eest
- endine
- varem
- Alates
- funktsionaalsus
- saama
- GitHub
- Go
- suur
- riistvara
- riistvaraseade
- Olema
- he
- aitama
- rohkem
- Konksud
- loodab
- Hosting
- maja
- HTTPS
- tohutu
- jaht
- rakendada
- in
- Teistes
- sisaldama
- Kaasa arvatud
- indeks
- infektsioon
- esialgne
- paigaldama
- paigaldamine
- Intelligentsus
- ette nähtud
- sisse
- kaasama
- IT
- jpg
- töö
- keel
- Keeled
- kihid
- õigustatud
- vähem
- taset
- Finantsvõimendus
- Raamatukogu
- elu
- nagu
- Tõenäoliselt
- otsin
- Partii
- peamine
- tegema
- malware
- palju
- materjalid
- mai..
- MFA
- viga
- Kaasaegne
- rohkem
- kõige
- motiveeritud
- liikuma
- palju
- mitmekordne
- nimetamine
- Vajadus
- vaja
- ei
- märkused
- nüüd
- of
- Pakkumised
- Pakkumised
- ametlik
- on
- kunagi
- ONE
- avatud
- avatud lähtekoodiga
- valik
- or
- organisatsioon
- organisatsioonid
- Muu
- välja
- üldine
- enda
- pakend
- pakette
- eriline
- Pöördetelg
- Platon
- Platoni andmete intelligentsus
- PlatoData
- Punkt
- võimalik
- potentsiaalselt
- president
- vältida
- Programming
- programmeerimiskeeled
- Programmid
- projekt
- projektid
- tõmmates
- Lükkama
- Python
- küsimus
- Küsimused
- tõesti
- hiljuti
- ringlussevõtu
- Eemaldatud
- Hoidla
- maine
- nõudma
- Nõuded
- Teadlased
- õige
- jooks
- s
- ohutum
- Ütlesin
- ütlema
- ütleb
- stsenaariumid
- turvalisus
- turvakoodi
- nähtud
- valides
- istung
- istungid
- ta
- kirjutama
- Silver
- alates
- site
- tarkvara
- allikas
- lähtekoodi
- Samm
- Sammud
- Veel
- Peatus
- selline
- varustama
- tarneahelas
- Pind
- Lüliti
- taktika
- Võtma
- ülevõtmine
- võtmine
- et
- .
- oma
- Neile
- SIIS
- Seal.
- Need
- see
- need
- oht
- ohus osalejad
- ohtude luure
- et
- sümboolne
- märgid
- töövahendid
- häda
- Usaldatud
- tundmatu
- kasutatav
- Kasutus
- kasutama
- Kasutatud
- Kasutaja
- Kasutajad
- kasutamine
- tavaliselt
- eri
- Ve
- Versus
- Asepresident
- Tee..
- kuidas
- we
- M
- millal
- mis
- kuigi
- miks
- laialdaselt
- will
- koos
- sõnad
- Töö
- väärt
- oleks
- aasta
- sephyrnet