पायथन प्रोग्रामिंग लैंग्वेज, पायथन पैकेज इंडेक्स (PyPI) के लिए आधिकारिक ओपन सोर्स कोड रिपॉजिटरी को 2 के अंत तक टू-फैक्टर ऑथेंटिकेशन (2023FA) को सक्षम करने के लिए सभी उपयोगकर्ता खातों की आवश्यकता होगी।
The security move may help prevent cyberattackers from compromising maintainer accounts and injecting malicious code into existing legitimate projects, but it's not a silver bullet when it comes to shoring up overall software supply chain security, researchers warn.
"Between now and the end of the year, PyPI will begin gating access to certain site functionality based on 2FA usage," explained PyPI administrator and maintainer Donald Stufft, in a हाल ही में ब्लॉग पोस्टिंग. "In addition, we may begin selecting certain users or projects for early enforcement."
2FA को लागू करने के लिए, पैकेज अनुरक्षकों के पास एक सुरक्षा टोकन या अन्य हार्डवेयर डिवाइस, या एक प्रमाणीकरण ऐप का उपयोग करने का विकल्प होता है; और स्टफट ने कहा कि उपयोगकर्ताओं को या तो उपयोग करने के लिए स्विच करने के लिए प्रोत्साहित किया जाता है PyPI's Trusted Publishers PyPI पर कोड अपलोड करने के लिए सुविधा या API टोकन।
Stemming PyPI's Malicious Package Activity
यह घोषणा साइबर अपराधियों द्वारा विभिन्न सॉफ्टवेयर प्रोग्रामों और ऐप्स में मैलवेयर के साथ घुसपैठ करने के लिए किए गए हमलों के बीच हुई है, जो बाद में व्यापक रूप से प्रसारित हो सकते हैं। पीईपीआई के बाद से और अन्य रिपॉजिटरी जैसे npm और GitHub उन बिल्डिंग ब्लॉक्स को रखता है जिनका उपयोग डेवलपर्स उन पेशकशों को बनाने के लिए करते हैं, उनकी सामग्री से समझौता करना ऐसा करने का एक शानदार तरीका है।
शोधकर्ताओं का कहना है कि विशेष रूप से 2FA (जो गिटहब ने हाल ही में लागू किया है) डेवलपर खाता अधिग्रहण को रोकने में मदद करेगा, जो एक ऐसा तरीका है जिससे खराब अभिनेता ऐप्स में अपनी पकड़ बना लेते हैं।
"हमने देखा है फ़िशिंग हमले शुरू किए गए against the project maintainers for commonly used PyPI packages that are intended to compromise those accounts," says Ashlee Benge, director of threat intelligence advocacy at ReversingLabs. "Once compromised, those accounts can easily be used to push malicious code to the PyPI project in question."
क्रोल में साइबर-जोखिम के उपाध्यक्ष डेव ट्रूमैन कहते हैं, प्रारंभिक संक्रमण के सबसे संभावित परिदृश्यों में से एक डेवलपर गलती से दुर्भावनापूर्ण पैकेज स्थापित कर सकता है, उदाहरण के लिए, गलती से पायथन इंस्टॉल कमांड टाइप करना।
"A lot of the malicious packages contain functionality for stealing credentials or browser session cookies and are coded to run on the malicious package being installed," he explains. "At this point, the malware would steal their credentials and sessions which could possibly include logins usable with PyPI. In other words … one developer could allow the actor to pivot to एक प्रमुख आपूर्ति श्रृंखला हमला depending on what that developer has access to — 2FA on PyPI would help stop the actor taking advantage of [that]."
अधिक सॉफ्टवेयर आपूर्ति श्रृंखला सुरक्षा कार्य करने के लिए
ReversingLabs' Benge notes that while PyPI's 2FA requirements are a step in the right direction, more security layers are needed to really lock down the software supply chain. That's because one of the most common ways that cybercriminals leverage software repositories is by अपने स्वयं के दुर्भावनापूर्ण पैकेज अपलोड करना डेवलपर्स को धोखा देकर उन्हें अपने सॉफ़्टवेयर में खींचने की उम्मीद में।
आखिरकार, कोई भी एक PyPI खाते के लिए साइन अप कर सकता है, कोई प्रश्न नहीं पूछा गया।
These efforts usually involve mundane social-engineering tactics, she says: "टाइपोस्क्वाटिंग आम है — for example, naming a package 'djanga' (containing malicious code) versus 'django' (the legitimate and commonly used library)."
Another tactic is to hunt for abandoned projects to bring back to life. "A formerly benign project is abandoned, removed, and then repurposed for hosting malware, टर्मकलर की तरह," she explains. This recycling approach offers malicious actors the benefit of using the former project's legitimate reputation to lure in developers.
"Adversaries are continually figuring out multiple ways to डेवलपर्स को दुर्भावनापूर्ण पैकेजों का उपयोग करने के लिए प्रेरित करें, which is why it's critical for Python and other programming languages with software repositories like PyPi to have a comprehensive software supply chain approach to security," says Javed Hasan, CEO and co-founder, Lineaje.
साथ ही, 2FA, Benge नोट्स को हराने के कई तरीके हैं, जिनमें शामिल हैं सिम स्वैपिंग, OIDC शोषण, और सत्र अपहरण। वह कहती हैं, हालांकि ये श्रम गहन होते हैं, प्रेरित हमलावर अभी भी एमएफए और निश्चित रूप से 2FA के आसपास काम करने की कोशिश में परेशानी में पड़ जाएंगे।
"Such attacks require much higher levels of engagement by attackers and many additional steps that will deter less motivated threat actors, but compromising an organization's supply chain offers a potentially huge payoff for threat actors, and many may decide that the extra effort is worth it," she says.
जबकि रिपॉजिटरी अपने वातावरण को सुरक्षित बनाने के लिए कदम उठाती हैं, संगठनों और डेवलपर्स को अपनी सावधानी बरतने की जरूरत है, हसन काउंसल।
"Organizations need modern supply chain tamper detection tools that help companies break down what's in their software and avoid deployment of unknown and dangerous components," he says. Also, efforts like सामग्री के सॉफ्टवेयर बिल (एसबीओएम) और हमले की सतह प्रबंधन मदद कर सकते है।
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- प्लेटोआईस्ट्रीम। Web3 डेटा इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- मिंटिंग द फ्यूचर डब्ल्यू एड्रिएन एशले। यहां पहुंचें।
- PREIPO® के साथ PRE-IPO कंपनियों में शेयर खरीदें और बेचें। यहां पहुंचें।
- स्रोत: https://www.darkreading.com/application-security/pypi-2fa-requirements-dont-go-far-enough
- :हैस
- :है
- :नहीं
- $यूपी
- 2023
- 2FA
- a
- पहुँच
- लेखा
- खाता अधिग्रहण
- अकौन्टस(लेखा)
- अभिनेताओं
- इसके अलावा
- अतिरिक्त
- लाभ
- वकालत
- के खिलाफ
- सब
- अनुमति देना
- भी
- बीच में
- an
- और
- घोषणा
- किसी
- एपीआई
- अनुप्रयोग
- दृष्टिकोण
- क्षुधा
- हैं
- चारों ओर
- At
- आक्रमण
- प्रमाणीकरण
- से बचने
- वापस
- बुरा
- आधारित
- BE
- क्योंकि
- शुरू करना
- जा रहा है
- लाभ
- के बीच
- विधेयकों
- ब्लॉक
- ब्लॉग
- टूटना
- लाना
- ब्राउज़र
- निर्माण
- इमारत
- लेकिन
- by
- कर सकते हैं
- मुख्य कार्यपालक अधिकारी
- कुछ
- निश्चित रूप से
- श्रृंखला
- सह-संस्थापक
- कोड
- कोडित
- आता है
- सामान्य
- सामान्यतः
- कंपनियों
- घटकों
- व्यापक
- समझौता
- छेड़छाड़ की गई
- समझौता
- अंतर्वस्तु
- लगातार
- कुकीज़
- सका
- साख
- महत्वपूर्ण
- साइबर अपराधी
- खतरनाक
- पंडुक
- तय
- निर्भर करता है
- तैनाती
- खोज
- डेवलपर
- डेवलपर्स
- युक्ति
- दिशा
- निदेशक
- Django
- do
- डॉन
- डोनाल्ड
- नीचे
- शीघ्र
- आसानी
- प्रयास
- प्रयासों
- भी
- सक्षम
- प्रोत्साहित किया
- समाप्त
- प्रवर्तन
- सगाई
- पर्याप्त
- वातावरण
- ईथर (ईटीएच)
- उदाहरण
- मौजूदा
- समझाया
- बताते हैं
- शोषण
- अतिरिक्त
- दूर
- Feature
- के लिए
- पूर्व
- पूर्व में
- से
- कार्यक्षमता
- मिल
- GitHub
- Go
- महान
- हार्डवेयर
- हार्डवेयर डिवाइस
- है
- he
- मदद
- उच्चतर
- कांटों
- उम्मीद है
- होस्टिंग
- मकान
- HTTPS
- विशाल
- शिकार
- लागू करने के
- in
- अन्य में
- शामिल
- सहित
- अनुक्रमणिका
- संक्रमण
- प्रारंभिक
- स्थापित
- स्थापित कर रहा है
- बुद्धि
- इरादा
- में
- शामिल करना
- IT
- जेपीजी
- श्रम
- भाषा
- भाषाऐं
- परतों
- वैध
- कम
- स्तर
- लीवरेज
- पुस्तकालय
- जीवन
- पसंद
- संभावित
- देख
- लॉट
- प्रमुख
- बनाना
- मैलवेयर
- बहुत
- सामग्री
- मई..
- एमएफए
- गलती
- आधुनिक
- अधिक
- अधिकांश
- प्रेरित
- चाल
- बहुत
- विभिन्न
- नामकरण
- आवश्यकता
- जरूरत
- नहीं
- नोट्स
- अभी
- of
- प्रसाद
- ऑफर
- सरकारी
- on
- एक बार
- ONE
- खुला
- खुला स्रोत
- विकल्प
- or
- संगठन
- संगठनों
- अन्य
- आउट
- कुल
- अपना
- पैकेज
- संकुल
- विशेष
- प्रधान आधार
- प्लेटो
- प्लेटो डेटा इंटेलिजेंस
- प्लेटोडाटा
- बिन्दु
- संभवतः
- संभावित
- अध्यक्ष
- को रोकने के
- प्रोग्रामिंग
- प्रोग्रामिंग की भाषाएँ
- प्रोग्राम्स
- परियोजना
- परियोजनाओं
- खींच
- धक्का
- अजगर
- प्रश्न
- प्रशन
- वास्तव में
- हाल ही में
- रीसाइक्लिंग
- हटाया
- कोष
- ख्याति
- की आवश्यकता होती है
- आवश्यकताएँ
- शोधकर्ताओं
- सही
- रन
- s
- सुरक्षित
- कहा
- कहना
- कहते हैं
- परिदृश्यों
- सुरक्षा
- सुरक्षा टोकन
- देखा
- का चयन
- सत्र
- सत्र
- वह
- हस्ताक्षर
- चांदी
- के बाद से
- साइट
- सॉफ्टवेयर
- स्रोत
- स्रोत कोड
- कदम
- कदम
- फिर भी
- रुकें
- ऐसा
- आपूर्ति
- आपूर्ति श्रृंखला
- सतह
- स्विच
- युक्ति
- लेना
- अधिग्रहण
- ले जा
- कि
- RSI
- लेकिन हाल ही
- उन
- फिर
- वहाँ।
- इन
- इसका
- उन
- धमकी
- खतरों के खिलाड़ी
- खुफिया जानकारी
- सेवा मेरे
- टोकन
- टोकन
- उपकरण
- मुसीबत
- विश्वस्त
- अज्ञात
- प्रयोग करने योग्य
- प्रयोग
- उपयोग
- प्रयुक्त
- उपयोगकर्ता
- उपयोगकर्ताओं
- का उपयोग
- आमतौर पर
- विभिन्न
- Ve
- बनाम
- वाइस राष्ट्रपति
- मार्ग..
- तरीके
- we
- क्या
- कब
- कौन कौन से
- जब
- क्यों
- व्यापक रूप से
- मर्जी
- साथ में
- शब्द
- काम
- लायक
- होगा
- वर्ष
- जेफिरनेट