مخزن کد منبع باز رسمی برای زبان برنامه نویسی پایتون، فهرست بسته پایتون (PyPI)، به تمام حساب های کاربری نیاز دارد تا احراز هویت دو مرحله ای (2FA) را تا پایان سال 2023 فعال کنند.
محققان هشدار میدهند که این اقدام امنیتی ممکن است به جلوگیری از به خطر انداختن حسابهای نگهدارنده و تزریق کدهای مخرب به پروژههای قانونی موجود توسط مهاجمان سایبری کمک کند، اما محققان هشدار میدهند که در مورد تقویت امنیت کلی زنجیره تامین نرمافزار، این یک گلوله نقرهای نیست.
دونالد استافت، مدیر و نگهدارنده PyPI، در یک گزارش توضیح داد: «از اکنون تا پایان سال، PyPI دسترسی به برخی از عملکردهای سایت را بر اساس استفاده از 2FA آغاز خواهد کرد. پست اخیر وبلاگ. "علاوه بر این، ممکن است شروع به انتخاب کاربران یا پروژه های خاصی برای اجرای زودهنگام کنیم."
برای پیادهسازی 2FA، نگهدارندههای بسته این گزینه را دارند که از یک رمز امنیتی یا سایر دستگاههای سختافزاری یا یک برنامه احراز هویت استفاده کنند. و Stufft گفت که کاربران تشویق می شوند تا به استفاده از هر یک از آنها روی بیاورند ناشران مورد اعتماد PyPI ویژگی یا نشانه های API برای آپلود کد در PyPI.
ریشه کن کردن فعالیت بسته مخرب PyPI
این اعلامیه در بحبوحه حملات مجرمان سایبری صورت میگیرد که به دنبال نفوذ به برنامهها و نرمافزارهای مختلف با بدافزار هستند که میتوانند به طور گسترده منتشر شوند. از آنجایی که PyPI و مخازن دیگر مانند npm و GitHub بلوکهای سازندهای را که توسعهدهندگان برای ساختن آن پیشنهادها استفاده میکنند، در خود جای میدهد، به خطر انداختن محتوای آنها راهی عالی برای انجام این کار است.
محققان می گویند که 2FA به طور خاص (که گیت هاب نیز اخیرا پیاده سازی شده است) به جلوگیری از تصاحب حساب توسعهدهنده کمک میکند، این یکی از راههایی است که بازیگران بد به برنامهها متصل میشوند.
"ما دیده ایم حملات فیشینگ راه اندازی شد Ashlee Benge، مدیر پشتیبانی اطلاعات تهدیدات در ReversingLabs، می گوید: «در مقابل نگهبانان پروژه برای بسته های PyPI که معمولاً مورد استفاده قرار می گیرند و قصد دارند آن حساب ها را به خطر بیندازند. پس از در معرض خطر قرار گرفتن، آن حساب ها به راحتی می توانند برای ارسال کدهای مخرب به پروژه PyPI مورد نظر استفاده شوند. "
دیو ترومن، معاون ریسک سایبری در کرول، میگوید یکی از محتملترین سناریوهای آلودگی اولیه این است که یک توسعهدهنده به طور تصادفی یک بسته مخرب را نصب کند، برای مثال، به اشتباه دستور نصب پایتون را تایپ کند.
او توضیح میدهد: «بسیاری از بستههای مخرب دارای عملکردی برای سرقت اطلاعات کاربری یا کوکیهای جلسه مرورگر هستند و برای اجرا روی بسته مخرب در حال نصب کدگذاری شدهاند. "در این مرحله، بدافزار اعتبارنامه ها و جلسات آنها را می دزدد که احتمالاً می تواند شامل لاگین های قابل استفاده با PyPI باشد. به عبارت دیگر ... یک توسعه دهنده می تواند به بازیگر اجازه دهد تا به یک حمله بزرگ زنجیره تامین بسته به آنچه که توسعهدهنده به آن دسترسی دارد - 2FA در PyPI به جلوگیری از استفاده بازیگر از [آن] کمک میکند."
کارهای امنیتی بیشتر در زنجیره تامین نرم افزار
Benge از ReversingLabs اشاره میکند که اگرچه الزامات PyPI 2FA گامی در مسیر درست است، لایههای امنیتی بیشتری برای قفل کردن زنجیره تامین نرمافزار مورد نیاز است. این به این دلیل است که یکی از رایجترین روشهایی که مجرمان سایبری از مخازن نرمافزار استفاده میکنند، این است که بسته های مخرب خود را آپلود می کنند به این امید که توسعه دهندگان را فریب دهند تا آنها را به نرم افزار خود بکشانند.
پس از همه، هر کسی می تواند برای یک حساب PyPI ثبت نام کند، بدون سوال.
او میگوید: این تلاشها معمولاً شامل تاکتیکهای دنیوی مهندسی اجتماعی است:تایپوسکوات رایج است - برای مثال، نامگذاری یک بسته 'djanga' (حاوی کد مخرب) در مقابل 'django' (کتابخانه قانونی و رایج)."
تاکتیک دیگر شکار پروژه های رها شده برای بازگرداندن زندگی است. «یک پروژه که قبلاً بیخطر بوده، رها میشود، حذف میشود و سپس برای میزبانی بدافزار تغییر کاربری داده میشود. مانند رنگ ترماو توضیح میدهد. این رویکرد بازیافت به بازیگران مخرب مزایای استفاده از شهرت قانونی پروژه قبلی را برای جذب توسعهدهندگان ارائه میدهد.
"دشمنان به طور مداوم در حال یافتن راه های متعددی هستند توسعه دهندگان را وادار به استفاده از بسته های مخرب کنیدجاوید حسن، مدیرعامل و یکی از بنیانگذاران Lineaje میگوید، به همین دلیل است که برای پایتون و سایر زبانهای برنامهنویسی دارای مخازن نرمافزاری مانند PyPi، داشتن یک رویکرد زنجیره تامین نرمافزار جامع برای امنیت بسیار مهم است.
همچنین، راه های متعددی برای شکست دادن 2FA، یادداشت های Benge، از جمله وجود دارد تعویض سیم کارت، بهره برداری OIDC و ربودن جلسه. او میگوید در حالی که اینها معمولاً کار فشرده هستند، مهاجمان با انگیزه همچنان در تلاش برای کار در اطراف MFA و مطمئناً 2FA هستند.
چنین حملاتی مستلزم سطوح بسیار بالاتری از تعامل توسط مهاجمان و بسیاری از مراحل اضافی است که از عوامل تهدید با انگیزه کمتر جلوگیری میکند، اما به خطر انداختن زنجیره تأمین یک سازمان، بالقوه بالقوهای بازده بزرگی را برای بازیگران تهدید ارائه میکند و بسیاری ممکن است تصمیم بگیرند که تلاش اضافی ارزش آن را دارد. "او می گوید.
حسن میگوید در حالی که مخازن برای ایمنتر کردن محیطهای خود اقداماتی انجام میدهند، سازمانها و توسعهدهندگان باید اقدامات احتیاطی خود را انجام دهند.
او میگوید: «سازمانها به ابزارهای مدرن تشخیص دستکاری زنجیره تأمین نیاز دارند که به شرکتها کمک میکند تا آنچه در نرمافزارشان وجود دارد را تجزیه کنند و از استقرار اجزای ناشناخته و خطرناک اجتناب کنند». همچنین، تلاش هایی مانند صورتحساب های نرم افزاری مواد (SBOM) و مدیریت سطح حمله می تواند کمک کند.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoAiStream. Web3 Data Intelligence دانش تقویت شده دسترسی به اینجا.
- ضرب کردن آینده با آدرین اشلی. دسترسی به اینجا.
- خرید و فروش سهام در شرکت های PRE-IPO با PREIPO®. دسترسی به اینجا.
- منبع: https://www.darkreading.com/application-security/pypi-2fa-requirements-dont-go-far-enough
- : دارد
- :است
- :نه
- $UP
- 2023
- 2F به
- a
- دسترسی
- حساب
- تصاحب حساب
- حساب ها
- بازیگران
- اضافه
- اضافی
- مزیت - فایده - سود - منفعت
- دفاع
- در برابر
- معرفی
- اجازه دادن
- همچنین
- در میان
- an
- و
- خبر
- هر کس
- API
- نرم افزار
- روش
- برنامه های
- هستند
- دور و بر
- At
- حمله
- تصدیق
- اجتناب از
- به عقب
- بد
- مستقر
- BE
- زیرا
- شروع
- بودن
- سود
- میان
- اسکناس
- بلاک ها
- بلاگ
- شکستن
- به ارمغان بیاورد
- مرورگر
- ساختن
- بنا
- اما
- by
- CAN
- مدیر عامل شرکت
- معین
- قطعا
- زنجیر
- بنیانگذاران
- رمز
- کدگذاری شده
- می آید
- مشترک
- عموما
- شرکت
- اجزاء
- جامع
- سازش
- در معرض خطر
- مصالحه
- محتویات
- به طور مستمر
- بیسکویت ها
- میتوانست
- مجوزها و اعتبارات
- بحرانی
- مجرمان سایبری
- خطرناک
- دیو
- تصمیم گیری
- بستگی دارد
- گسترش
- کشف
- توسعه دهنده
- توسعه دهندگان
- دستگاه
- جهت
- مدیر
- جنگو
- do
- دان
- دونالد
- پایین
- در اوایل
- به آسانی
- تلاش
- تلاش
- هر دو
- قادر ساختن
- تشویق
- پایان
- اجرای
- نامزدی
- کافی
- محیط
- اتر (ETH)
- مثال
- موجود
- توضیح داده شده
- توضیح می دهد
- بهره برداری
- اضافی
- بسیار
- ویژگی
- برای
- سابق
- سابق
- از جانب
- قابلیت
- دریافت کنید
- GitHub
- Go
- بزرگ
- سخت افزار
- دستگاه سخت افزاری
- آیا
- he
- کمک
- بالاتر
- قلاب
- امیدوار
- میزبانی وب
- خانه
- HTTPS
- بزرگ
- شکار
- انجام
- in
- در دیگر
- شامل
- از جمله
- شاخص
- عفونت
- اول
- نصب
- نصب کردن
- اطلاعات
- مورد نظر
- به
- شامل
- IT
- JPG
- کار
- زبان
- زبان ها
- لایه
- قانونی
- کمتر
- سطح
- قدرت نفوذ
- کتابخانه
- زندگی
- پسندیدن
- احتمالا
- به دنبال
- خیلی
- عمده
- ساخت
- نرم افزارهای مخرب
- بسیاری
- مصالح
- ممکن است..
- MFA
- اشتباه
- مدرن
- بیش
- اکثر
- انگیزه
- حرکت
- بسیار
- چندگانه
- نامگذاری
- نیاز
- ضروری
- نه
- یادداشت
- اکنون
- of
- پیشنهادات
- پیشنهادات
- رسمی
- on
- یک بار
- ONE
- باز کن
- منبع باز
- گزینه
- or
- کدام سازمان ها
- سازمان های
- دیگر
- خارج
- به طور کلی
- خود
- بسته
- بسته
- ویژه
- محور
- افلاطون
- هوش داده افلاطون
- PlatoData
- نقطه
- احتمالا
- بالقوه
- رئيس جمهور
- جلوگیری از
- برنامه نويسي
- زبانهای برنامه نویسی
- برنامه ها
- پروژه
- پروژه ها
- کشیدن
- فشار
- پــایتــون
- سوال
- سوالات
- واقعا
- تازه
- بازیافت
- حذف شده
- مخزن
- شهرت
- نیاز
- مورد نیاز
- محققان
- راست
- دویدن
- s
- امن تر
- سعید
- گفتن
- می گوید:
- سناریوها
- تیم امنیت لاتاری
- رمز امنیتی
- مشاهده گردید
- انتخاب
- جلسه
- جلسات
- او
- امضاء
- نقره
- پس از
- سایت
- نرم افزار
- منبع
- کد منبع
- گام
- مراحل
- هنوز
- توقف
- چنین
- عرضه
- زنجیره تامین
- سطح
- گزینه
- تاکتیک
- گرفتن
- تصاحب
- مصرف
- که
- La
- شان
- آنها
- سپس
- آنجا.
- اینها
- این
- کسانی که
- تهدید
- بازیگران تهدید
- تهدید هوش
- به
- رمز
- نشانه
- ابزار
- زحمت
- مورد اعتماد
- ناشناخته
- قابل استفاده
- استفاده
- استفاده کنید
- استفاده
- کاربر
- کاربران
- با استفاده از
- معمولا
- مختلف
- Ve
- در مقابل
- معاون رئیس جمهور
- مسیر..
- راه
- we
- چی
- چه زمانی
- که
- در حین
- چرا
- به طور گسترده ای
- اراده
- با
- کلمات
- مهاجرت کاری
- با ارزش
- خواهد بود
- سال
- زفیرنت