Le référentiel de code open source officiel pour le langage de programmation Python, le Python Package Index (PyPI), exigera que tous les comptes d'utilisateurs activent l'authentification à deux facteurs (2FA) d'ici la fin de 2023.
Cette mesure de sécurité peut aider à empêcher les cyberattaquants de compromettre les comptes des responsables et d'injecter du code malveillant dans des projets légitimes existants, mais ce n'est pas une solution miracle lorsqu'il s'agit de renforcer la sécurité globale de la chaîne d'approvisionnement logicielle, préviennent les chercheurs.
"D'ici la fin de l'année, PyPI commencera à contrôler l'accès à certaines fonctionnalités du site en fonction de l'utilisation de 2FA", a expliqué l'administrateur et responsable de PyPI, Donald Stufft, dans un communiqué. publication récente sur le blog. "En outre, nous pourrions commencer à sélectionner certains utilisateurs ou projets pour une application anticipée."
Pour implémenter 2FA, les mainteneurs de paquets ont la possibilité d'utiliser un jeton de sécurité ou un autre périphérique matériel, ou une application d'authentification ; et Stufft a déclaré que les utilisateurs sont encouragés à utiliser soit Éditeurs de confiance de PyPI fonctionnalité ou jetons d'API pour télécharger du code sur PyPI.
Endiguer l'activité des packages malveillants de PyPI
L'annonce intervient au milieu d'une série d'attaques par des cybercriminels cherchant à infiltrer divers logiciels et applications avec des logiciels malveillants qui peuvent ensuite être largement diffusés. Depuis PyPI et d'autres dépôts comme npm et GitHub abritent les blocs de construction que les développeurs utilisent pour créer ces offres, compromettre leur contenu est un excellent moyen de le faire.
Les chercheurs disent que 2FA en particulier (qui GitHub a également récemment implémenté) aidera à empêcher la prise de contrôle du compte du développeur, qui est l'un des moyens par lesquels les mauvais acteurs s'accrochent aux applications.
"Nous avons vu attaques de phishing lancées contre les responsables du projet pour les packages PyPI couramment utilisés qui sont destinés à compromettre ces comptes », déclare Ashlee Benge, directrice du plaidoyer en matière de renseignements sur les menaces chez ReversingLabs. « Une fois compromis, ces comptes peuvent facilement être utilisés pour pousser du code malveillant vers le projet PyPI en question. ".
L'un des scénarios les plus probables d'infection initiale serait qu'un développeur installe accidentellement un package malveillant, par exemple en tapant une commande d'installation Python par erreur, explique Dave Truman, vice-président du cyber-risque chez Kroll.
« De nombreux packages malveillants contiennent des fonctionnalités permettant de voler des informations d'identification ou des cookies de session de navigateur et sont codés pour s'exécuter sur le package malveillant en cours d'installation », explique-t-il. "À ce stade, le malware volerait leurs informations d'identification et leurs sessions, qui pourraient éventuellement inclure des connexions utilisables avec PyPI. En d'autres termes… un développeur pourrait permettre à l'acteur de pivoter vers une attaque majeure de la chaîne d'approvisionnement en fonction de ce à quoi ce développeur a accès, 2FA sur PyPI aiderait à empêcher l'acteur d'en profiter."
Plus de travail à faire sur la sécurité de la chaîne d'approvisionnement logicielle
Benge de ReversingLabs note que même si les exigences 2FA de PyPI constituent un pas dans la bonne direction, davantage de couches de sécurité sont nécessaires pour réellement verrouiller la chaîne d'approvisionnement des logiciels. En effet, l'une des manières les plus courantes utilisées par les cybercriminels pour exploiter les référentiels de logiciels consiste à télécharger leurs propres packages malveillants dans l'espoir de duper les développeurs en les incorporant dans leur logiciel.
Après tout, n'importe qui peut créer un compte PyPI, sans poser de questions.
Ces efforts impliquent généralement des tactiques banales d’ingénierie sociale, dit-elle : «Le typosquattage est courant — par exemple, nommer un paquet « djanga » (contenant du code malveillant) par rapport à « django » (la bibliothèque légitime et couramment utilisée).
Une autre tactique consiste à rechercher des projets abandonnés à redonner vie. "Un projet autrefois inoffensif est abandonné, supprimé, puis réutilisé pour héberger des logiciels malveillants, comme avec termcolor", explique-t-elle. Cette approche de recyclage offre aux acteurs malveillants l'avantage d'utiliser la réputation légitime de l'ancien projet pour attirer les développeurs.
"Les adversaires trouvent continuellement de multiples façons de amener les développeurs à utiliser des packages malveillants, c'est pourquoi il est essentiel que Python et d'autres langages de programmation dotés de référentiels de logiciels comme PyPi aient une approche globale de la chaîne d'approvisionnement logicielle en matière de sécurité », déclare Javed Hasan, PDG et co-fondateur de Lineaje.
En outre, il existe plusieurs façons de vaincre 2FA, note Benge, y compris Permutation de la carte SIM, exploitation d'OIDC et détournement de session. Bien que ceux-ci aient tendance à demander beaucoup de travail, les attaquants motivés se donneront toujours la peine d'essayer de contourner la MFA et certainement la 2FA, dit-elle.
« De telles attaques nécessitent des niveaux d'engagement beaucoup plus élevés de la part des attaquants et de nombreuses mesures supplémentaires qui dissuaderont les acteurs malveillants les moins motivés, mais compromettre la chaîne d'approvisionnement d'une organisation offre un gain potentiellement énorme pour les acteurs malveillants, et beaucoup peuvent décider que l'effort supplémentaire en vaut la peine. " elle dit.
Alors que les référentiels prennent des mesures pour rendre leurs environnements plus sûrs, les organisations et les développeurs doivent prendre leurs propres précautions, conseille Hasan.
« Les organisations ont besoin d'outils modernes de détection des falsifications de la chaîne d'approvisionnement qui les aident à décomposer le contenu de leurs logiciels et à éviter le déploiement de composants inconnus et dangereux », explique-t-il. Aussi, des efforts comme nomenclatures logicielles (SBOM) ainsi que gestion de la surface d'attaque peut aider.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoAiStream. Intelligence des données Web3. Connaissance Amplifiée. Accéder ici.
- Frapper l'avenir avec Adryenn Ashley. Accéder ici.
- Achetez et vendez des actions de sociétés PRE-IPO avec PREIPO®. Accéder ici.
- La source: https://www.darkreading.com/application-security/pypi-2fa-requirements-dont-go-far-enough
- :possède
- :est
- :ne pas
- $UP
- 2023
- 2FA
- a
- accès
- Compte
- reprise de compte
- hybrides
- acteurs
- ajout
- Supplémentaire
- Avantage
- plaidoyer
- à opposer à
- Tous
- permettre
- aussi
- au milieu de
- an
- ainsi que
- NOUVEAUTÉ!
- chacun.e
- api
- appli
- une approche
- applications
- SONT
- autour
- At
- Attaques
- Authentification
- éviter
- RETOUR
- Mal
- basé
- BE
- car
- commencer
- va
- profiter
- jusqu'à XNUMX fois
- Billets
- Blocs
- BLOG
- Pause
- apporter
- navigateur
- construire
- Développement
- mais
- by
- CAN
- CEO
- certaines
- Assurément
- chaîne
- Co-fondateur
- code
- codé
- vient
- Commun
- communément
- Sociétés
- composants électriques
- complet
- compromis
- Compromise
- compromettre
- contenu
- continuellement
- biscuits
- pourriez
- Lettres de créance
- critique
- les cybercriminels
- dangereux
- Dave
- décider
- Selon
- déploiement
- Détection
- Développeur
- mobiles
- dispositif
- direction
- Directeur
- Django
- do
- Don
- donald
- down
- "Early Bird"
- même
- effort
- efforts
- non plus
- permettre
- encouragés
- fin
- mise en vigueur
- participation
- assez
- environnements
- Ether (ETH)
- exemple
- existant
- expliqué
- Explique
- exploitation
- supplémentaire
- loin
- Fonctionnalité
- Pour
- Ancien
- anciennement
- de
- obtenez
- GitHub
- Go
- l'
- Matériel
- périphérique matériel
- Vous avez
- he
- aider
- augmentation
- Crochets
- espoirs
- hébergement
- Villa
- HTTPS
- majeur
- chasse
- Mettre en oeuvre
- in
- Dans d'autres
- comprendre
- Y compris
- indice
- infection
- initiale
- installer
- installer
- Intelligence
- prévu
- développement
- impliquer
- IT
- jpg
- COUTURE
- langue
- Langues
- poules pondeuses
- légitime
- moins
- niveaux
- Levier
- Bibliothèque
- VIE
- comme
- Probable
- recherchez-
- Lot
- majeur
- faire
- malware
- de nombreuses
- matières premières.
- Mai..
- MFA
- erreur
- Villas Modernes
- PLUS
- (en fait, presque toutes)
- motivés
- Bougez
- beaucoup
- plusieurs
- nommage
- Besoin
- nécessaire
- aucune
- Notes
- maintenant
- of
- Offrandes
- Offres Speciales
- officiel
- on
- une fois
- ONE
- ouvert
- open source
- Option
- or
- organisation
- organisations
- Autre
- ande
- global
- propre
- paquet
- Forfaits
- particulier
- Pivoter
- Platon
- Intelligence des données Platon
- PlatonDonnées
- Point
- peut-être
- l'éventualité
- président
- empêcher
- Programmation
- langages de programmation
- Programmes
- Projet
- projets
- tirant
- Push
- Python
- question
- fréquemment posées
- vraiment
- récemment
- recyclage
- Supprimé
- dépôt
- réputation
- exigent
- Exigences
- chercheurs
- bon
- Courir
- s
- plus sûre
- Saïd
- dire
- dit
- scénarios
- sécurité
- jeton de sécurité
- vu
- la sélection
- Session
- brainstorming
- elle
- signer
- Argent
- depuis
- site
- Logiciels
- Identifier
- code source
- étapes
- Étapes
- Encore
- Arrêter
- tel
- la quantité
- chaîne d'approvisionnement
- Surface
- Interrupteur
- tactique
- Prenez
- prise de contrôle
- prise
- qui
- La
- leur
- Les
- puis
- Là.
- Ces
- this
- ceux
- menace
- acteurs de la menace
- renseignements sur les menaces
- à
- jeton
- Tokens
- les outils
- difficulté
- confiance
- inconnu
- utilisable
- Utilisation
- utilisé
- d'utiliser
- Utilisateur
- utilisateurs
- en utilisant
- d'habitude
- divers
- Ve
- Versus
- Vice-président
- Façon..
- façons
- we
- Quoi
- quand
- qui
- tout en
- why
- largement
- sera
- avec
- des mots
- Activités principales
- vaut
- pourra
- an
- zéphyrnet