Python-ohjelmointikielen virallinen avoimen lähdekoodin arkisto Python Package Index (PyPI) edellyttää, että kaikki käyttäjätilit ottavat käyttöön kaksivaiheisen todennuksen (2FA) vuoden 2023 loppuun mennessä.
The security move may help prevent cyberattackers from compromising maintainer accounts and injecting malicious code into existing legitimate projects, but it's not a silver bullet when it comes to shoring up overall software supply chain security, researchers warn.
"Between now and the end of the year, PyPI will begin gating access to certain site functionality based on 2FA usage," explained PyPI administrator and maintainer Donald Stufft, in a viimeaikainen blogikirjoitus. "In addition, we may begin selecting certain users or projects for early enforcement."
2FA:n toteuttamiseksi pakettien ylläpitäjillä on mahdollisuus käyttää suojaustunnusta tai muuta laitteistoa tai todennussovellusta; ja Stufft sanoi, että käyttäjiä rohkaistaan siirtymään käyttämään jompaakumpaa PyPI's Trusted Publishers ominaisuus tai API-tunnukset koodin lataamiseksi PyPI:hen.
Stemming PyPI's Malicious Package Activity
Ilmoitus tulee keskellä lukuisia kyberrikollisten hyökkäyksiä, jotka haluavat soluttautua erilaisiin ohjelmistoihin ja sovelluksiin haittaohjelmilla, jotka voivat levitä laajasti. Koska PyPI ja muut arkistot, kuten npm ja GitHub sisältävät rakennuspalikat, joita kehittäjät käyttävät näiden tarjousten rakentamiseen. Niiden sisällön vaarantaminen on loistava tapa tehdä se.
Tutkijat sanovat, että erityisesti 2FA (joka GitHub on myös hiljattain otettu käyttöön).
"Olemme nähneet phishing-hyökkäykset käynnistetty against the project maintainers for commonly used PyPI packages that are intended to compromise those accounts," says Ashlee Benge, director of threat intelligence advocacy at ReversingLabs. "Once compromised, those accounts can easily be used to push malicious code to the PyPI project in question."
Yksi alkuperäisen tartunnan todennäköisistä skenaarioista olisi, että kehittäjä asentaisi vahingossa haitallisen paketin, esimerkiksi kirjoittaisi vahingossa Python-asennuskomennon, sanoo Dave Truman, Krollin kyberriskien varatoimitusjohtaja.
"A lot of the malicious packages contain functionality for stealing credentials or browser session cookies and are coded to run on the malicious package being installed," he explains. "At this point, the malware would steal their credentials and sessions which could possibly include logins usable with PyPI. In other words … one developer could allow the actor to pivot to suuri toimitusketjuhyökkäys depending on what that developer has access to — 2FA on PyPI would help stop the actor taking advantage of [that]."
Lisää ohjelmistojen toimitusketjun suojaustyötä
ReversingLabs' Benge notes that while PyPI's 2FA requirements are a step in the right direction, more security layers are needed to really lock down the software supply chain. That's because one of the most common ways that cybercriminals leverage software repositories is by lataamalla omia haitallisia pakettejaan toiveissa huijata kehittäjät vetämään heidät ohjelmistoonsa.
Loppujen lopuksi kuka tahansa voi rekisteröityä PyPI-tilille ilman kysymyksiä.
These efforts usually involve mundane social-engineering tactics, she says: "Typosquatting on yleistä — for example, naming a package 'djanga' (containing malicious code) versus 'django' (the legitimate and commonly used library)."
Another tactic is to hunt for abandoned projects to bring back to life. "A formerly benign project is abandoned, removed, and then repurposed for hosting malware, kuten termcolourilla," she explains. This recycling approach offers malicious actors the benefit of using the former project's legitimate reputation to lure in developers.
"Adversaries are continually figuring out multiple ways to saada kehittäjät käyttämään haitallisia paketteja, which is why it's critical for Python and other programming languages with software repositories like PyPi to have a comprehensive software supply chain approach to security," says Javed Hasan, CEO and co-founder, Lineaje.
Lisäksi on useita tapoja voittaa 2FA, Benge toteaa, mukaan lukien SIM-kortin vaihto, OIDC:n hyväksikäyttö ja istunnon kaappaus. Vaikka nämä ovat yleensä työvoimavaltaisia, motivoituneet hyökkääjät yrittävät silti yrittää kiertää MFA:ta ja varmasti 2FA:ta, hän sanoo.
"Such attacks require much higher levels of engagement by attackers and many additional steps that will deter less motivated threat actors, but compromising an organization's supply chain offers a potentially huge payoff for threat actors, and many may decide that the extra effort is worth it," she says.
Vaikka arkistot ryhtyvät toimiin ympäristönsä turvallisuuden parantamiseksi, organisaatioiden ja kehittäjien on ryhdyttävä omiin varotoimiinsa, Hasan neuvoo.
"Organizations need modern supply chain tamper detection tools that help companies break down what's in their software and avoid deployment of unknown and dangerous components," he says. Also, efforts like ohjelmistojen materiaalilaskut (SBOM) ja hyökkäyspinnan hallinta voi auttaa.
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- PlatoAiStream. Web3 Data Intelligence. Tietoa laajennettu. Pääsy tästä.
- Tulevaisuuden lyöminen Adryenn Ashley. Pääsy tästä.
- Osta ja myy osakkeita PRE-IPO-yhtiöissä PREIPO®:lla. Pääsy tästä.
- Lähde: https://www.darkreading.com/application-security/pypi-2fa-requirements-dont-go-far-enough
- :on
- :On
- :ei
- $ YLÖS
- 2023
- 2FA
- a
- pääsy
- Tili
- tilin haltuunotto
- Tilit
- toimijoiden
- Lisäksi
- lisä-
- Etu
- asianajo
- vastaan
- Kaikki
- sallia
- Myös
- keskellä
- an
- ja
- Ilmoitus
- joku
- api
- sovelluksen
- lähestymistapa
- sovellukset
- OVAT
- noin
- At
- Hyökkäykset
- Authentication
- välttää
- takaisin
- Huono
- perustua
- BE
- koska
- alkaa
- ovat
- hyödyttää
- välillä
- Setelit
- Blocks
- Uutiset ja media
- Tauko
- tuoda
- selain
- rakentaa
- Rakentaminen
- mutta
- by
- CAN
- toimitusjohtaja
- tietty
- varmasti
- ketju
- Perustaja
- koodi
- koodattu
- tulee
- Yhteinen
- yleisesti
- Yritykset
- osat
- kattava
- kompromissi
- Vaarantunut
- vaarantamatta
- sisältö
- jatkuvasti
- keksit
- voisi
- Valtakirja
- kriittinen
- verkkorikollisille
- Vaarallinen
- Dave
- päättää
- Riippuen
- käyttöönotto
- Detection
- Kehittäjä
- kehittäjille
- laite
- suunta
- Johtaja
- Django
- do
- Don
- donald
- alas
- Varhainen
- helposti
- vaivaa
- ponnisteluja
- myöskään
- mahdollistaa
- kannusti
- loppu
- täytäntöönpano
- sitoumus
- tarpeeksi
- ympäristöissä
- Eetteri (ETH)
- esimerkki
- olemassa
- selitti
- selittää
- hyväksikäyttö
- lisää
- paljon
- Ominaisuus
- varten
- Entinen
- ennen
- alkaen
- toiminnallisuus
- saada
- GitHub
- Go
- suuri
- Tarvikkeet
- laitteistolaite
- Olla
- he
- auttaa
- korkeampi
- Koukut
- toivoo
- hotellit
- Talo
- HTTPS
- valtava
- metsästys
- toteuttaa
- in
- Muilla
- sisältää
- Mukaan lukien
- indeksi
- infektio
- ensimmäinen
- asentaa
- asentaminen
- Älykkyys
- tarkoitettu
- tulee
- aiheuttaa
- IT
- jpg
- työ
- Kieli
- kielet
- kerrokset
- laillinen
- vähemmän
- tasot
- Vaikutusvalta
- Kirjasto
- elämä
- pitää
- Todennäköisesti
- näköinen
- Erä
- merkittävä
- tehdä
- haittaohjelmat
- monet
- tarvikkeet
- Saattaa..
- UM
- virhe
- Moderni
- lisää
- eniten
- motivoituneita
- liikkua
- paljon
- moninkertainen
- nimeäminen
- Tarve
- tarvitaan
- Nro
- Huomautuksia
- nyt
- of
- tarjoukset
- Tarjoukset
- virallinen
- on
- kerran
- ONE
- avata
- avoimen lähdekoodin
- Vaihtoehto
- or
- organisaatio
- organisaatioiden
- Muut
- ulos
- yleinen
- oma
- paketti
- paketit
- erityinen
- Tappi
- Platon
- Platonin tietotieto
- PlatonData
- Kohta
- mahdollisesti
- mahdollisesti
- puheenjohtaja
- estää
- Ohjelmointi
- ohjelmointikielet
- Ohjelmat
- projekti
- hankkeet
- vetämällä
- Työnnä
- Python
- kysymys
- kysymykset
- ihan oikeesti
- äskettäin
- kierrätys
- poistettu
- säilytyspaikka
- maine
- edellyttää
- vaatimukset
- Tutkijat
- oikein
- ajaa
- s
- turvallisempaa
- Said
- sanoa
- sanoo
- skenaariot
- turvallisuus
- turvallisuusmerkki
- nähneet
- valitsemalla
- Istunto
- istuntoja
- hän
- merkki
- Hopea
- koska
- paikka
- Tuotteemme
- lähde
- lähdekoodi
- Vaihe
- Askeleet
- Yhä
- stop
- niin
- toimittaa
- toimitusketju
- pinta
- Vaihtaa
- taktiikka
- ottaa
- vallata
- ottaen
- että
- -
- heidän
- Niitä
- sitten
- Siellä.
- Nämä
- tätä
- ne
- uhkaus
- uhka toimijat
- uhkien tiedustelu
- että
- symbolinen
- tokens
- työkalut
- ongelmia
- luotettu
- tuntematon
- käyttökelpoinen
- Käyttö
- käyttää
- käytetty
- käyttäjä
- Käyttäjät
- käyttämällä
- yleensä
- eri
- Ve
- Vastaan
- Varapresidentti
- Tapa..
- tavalla
- we
- Mitä
- kun
- joka
- vaikka
- miksi
- laajalti
- tulee
- with
- sanoja
- Referenssit
- arvoinen
- olisi
- vuosi
- zephyrnet