A Python programozási nyelv hivatalos nyílt forráskódú tárháza, a Python Package Index (PyPI) 2 végéig minden felhasználói fiókot megkövetel, hogy engedélyezze a kéttényezős hitelesítést (2023FA).
A biztonsági lépés segíthet megakadályozni, hogy a kibertámadók feltörjék a karbantartói fiókokat, és rosszindulatú kódokat fecskendezzenek be a meglévő legitim projektekbe, de ez nem egy golyó a szoftver-ellátási lánc általános biztonságának megerősítésére – figyelmeztetnek a kutatók.
"Mostantól az év végéig a PyPI megkezdi a hozzáférést bizonyos webhely-funkciókhoz a 2FA-használat alapján" - magyarázta Donald Stufft, a PyPI adminisztrátora és karbantartója. legutóbbi blogbejegyzés. "Emellett megkezdhetjük bizonyos felhasználók vagy projektek kiválasztását a korai betartatás céljából."
A 2FA megvalósításához a csomagkarbantartóknak lehetőségük van biztonsági tokent vagy más hardvereszközt vagy hitelesítő alkalmazást használni; és Stufft azt mondta, hogy a felhasználókat arra ösztönzik, hogy váltsanak bármelyik használatára PyPI Trusted Publishers funkciót vagy API-tokeneket a kód PyPI-be való feltöltéséhez.
A PyPI rosszindulatú csomagtevékenységének leállítása
A bejelentésre a számítógépes bûnözõk által elkövetett támadások közepette került sor, amelyek különféle szoftverekbe és alkalmazásokba akarnak beszivárogni rosszindulatú programokkal, amelyek aztán széles körben elterjedhetnek. Mivel a PyPI és más adattárak, mint például az npm és a GitHub tartalmazza azokat az építőelemeket, amelyeket a fejlesztők az ajánlatok felépítéséhez használnak, a tartalmuk veszélyeztetése nagyszerű módja ennek.
A kutatók szerint különösen a 2FA (ami A GitHub szintén nemrégiben került bevezetésre).
"Láttuk adathalász támadások indultak a projekt karbantartói ellen az általánosan használt PyPI-csomagok miatt, amelyek célja, hogy feltörjék ezeket a fiókokat" – mondja Ashlee Benge, a ReversingLabs fenyegetések intelligencia támogatásáért felelős igazgatója. „Ha feltörtek, ezek a fiókok könnyen felhasználhatók rosszindulatú kódok küldésére a szóban forgó PyPI projektnek. ."
A kezdeti fertőzés egyik legvalószínűbb forgatókönyve az lenne, ha a fejlesztő véletlenül rosszindulatú csomagot telepít, például tévedésből begépel egy Python install parancsot – mondja Dave Truman, a Kroll kiberkockázatokért felelős alelnöke.
"Sok rosszindulatú csomag tartalmaz hitelesítő adatok ellopására alkalmas funkciókat vagy böngésző munkamenet-cookie-kat, és úgy vannak kódolva, hogy a telepített rosszindulatú csomagon fussanak" - magyarázza. "Ezen a ponton a rosszindulatú program ellopná a hitelesítő adataikat és a munkameneteiket, amelyek esetleg PyPI-vel használható bejelentkezéseket is tartalmazhatnak. Más szóval… egy fejlesztő megengedheti a szereplőnek, hogy jelentős ellátási lánc támadás attól függően, hogy mihez fér hozzá a fejlesztő – a 2FA a PyPI-n segít megakadályozni, hogy a színész kihasználja [ezt]."
További teendők a szoftver-ellátási lánc biztonságával kapcsolatban
A ReversingLabs Benge megjegyzi, hogy bár a PyPI 2FA követelményei egy lépést jelentenek a helyes irányba, több biztonsági rétegre van szükség a szoftverellátási lánc tényleges lezárásához. Ennek az az oka, hogy a kiberbűnözők egyik leggyakoribb módja a szoftvertárak kihasználásának az, hogy saját rosszindulatú csomagjaik feltöltését abban a reményben, hogy megtévesztik a fejlesztőket, hogy bevonják őket a szoftvereikbe.
Végül is bárki regisztrálhat PyPI-fiókra, kérdések nélkül.
Ezek az erőfeszítések általában hétköznapi társadalommérnöki taktikákat foglalnak magukban, mondja: "Gyakori a gépelés — például egy csomag elnevezése „djanga”-nak (rosszindulatú kódot tartalmaz) a „django”-val (legális és általánosan használt könyvtár) szemben.
Egy másik taktika az elhagyott projektek keresése, hogy újra életre keltsék. "Egy korábban jóindulatú projektet felhagynak, eltávolítanak, majd rosszindulatú programok tárolására használják fel, mint a termcolornál" - magyarázza. Ez az újrahasznosítási megközelítés a rosszindulatú szereplők számára azt az előnyt kínálja, hogy az előbbi projekt jogos hírnevét használják fel a fejlesztők bevonzására.
„Az ellenfelek folyamatosan többféle módot találnak ki rá ráveszi a fejlesztőket a rosszindulatú csomagok használatára, ezért nagyon fontos, hogy a Python és más, a PyPi-hez hasonló szoftvertárolókkal rendelkező programozási nyelvek átfogó szoftver-ellátási láncszemlélettel rendelkezzenek a biztonság terén” – mondja Javed Hasan, a Lineaje vezérigazgatója és társalapítója.
Ezenkívül számos módja van a 2FA legyőzésének, jegyzi Benge, többek között SIM csere, OIDC kihasználása és munkamenet-eltérítés. Noha ezek általában munkaigényesek, a motivált támadók még mindig megpróbálják megkerülni az MFA-t és minden bizonnyal a 2FA-t, mondja.
"Az ilyen támadások a támadók részéről sokkal magasabb szintű elkötelezettséget és számos további lépést igényelnek, amelyek elriasztják a kevésbé motivált fenyegetés szereplőit, de egy szervezet ellátási láncának kompromittálása potenciálisan hatalmas megtérülést jelent a fenyegetés szereplői számára, és sokan úgy ítélhetik meg, hogy megéri az extra erőfeszítést. " ő mondja.
Míg az adattárak lépéseket tesznek környezetük biztonságosabbá tétele érdekében, a szervezeteknek és a fejlesztőknek saját óvintézkedéseiket kell megtenniük, tanácsolja Hasan.
"A szervezeteknek modern ellátási lánc szabotázs-észlelő eszközökre van szükségük, amelyek segítenek a vállalatoknak lebontani a szoftvereik tartalmát, és elkerülni az ismeretlen és veszélyes összetevők telepítését" - mondja. Továbbá, erőfeszítések, mint szoftveres anyagjegyzékek (SBOM) és a támadási felület kezelése segíthet.
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- PlatoAiStream. Web3 adatintelligencia. Felerősített tudás. Hozzáférés itt.
- A jövő pénzverése – Adryenn Ashley. Hozzáférés itt.
- Részvények vásárlása és eladása PRE-IPO társaságokban a PREIPO® segítségével. Hozzáférés itt.
- Forrás: https://www.darkreading.com/application-security/pypi-2fa-requirements-dont-go-far-enough
- :van
- :is
- :nem
- $ UP
- 2023
- 2FA
- a
- hozzáférés
- Fiók
- számlaátvétel
- Fiókok
- szereplők
- mellett
- További
- Előny
- érdekképviseleti
- ellen
- Minden termék
- lehetővé
- Is
- között
- an
- és a
- Közlemény
- bárki
- api
- app
- megközelítés
- alkalmazások
- VANNAK
- körül
- At
- Támadások
- Hitelesítés
- elkerülése érdekében
- vissza
- Rossz
- alapján
- BE
- mert
- kezdődik
- hogy
- haszon
- között
- Bankjegyek
- Blocks
- Blog
- szünet
- hoz
- böngésző
- épít
- Épület
- de
- by
- TUD
- vezérigazgató
- bizonyos
- biztosan
- lánc
- Társalapító
- kód
- kódolt
- jön
- Közös
- általában
- Companies
- alkatrészek
- átfogó
- kompromisszum
- Veszélyeztetett
- veszélyeztetése
- tartalom
- folyamatosan
- keksz
- tudott
- Hitelesítő adatok
- kritikai
- kiberbűnözők
- Veszélyes
- Dave
- dönt
- attól
- bevetés
- Érzékelés
- Fejlesztő
- fejlesztők
- eszköz
- irány
- Igazgató
- Django
- do
- Don
- Donald
- le-
- Korai
- könnyen
- erőfeszítés
- erőfeszítések
- bármelyik
- lehetővé
- ösztönözni
- végén
- végrehajtás
- eljegyzés
- elég
- környezetek
- Eter (ETH)
- példa
- létező
- magyarázható
- Elmagyarázza
- kizsákmányolás
- külön-
- messze
- Funkció
- A
- Korábbi
- korábban
- ból ből
- funkcionalitás
- kap
- GitHub
- Go
- nagy
- hardver
- hardver eszköz
- Legyen
- he
- segít
- <p></p>
- horgok
- reméli,
- tárhely
- Ház
- HTTPS
- hatalmas
- vadászat
- végre
- in
- Más
- tartalmaz
- Beleértve
- index
- fertőzés
- kezdetben
- telepíteni
- telepítése
- Intelligencia
- szándékolt
- bele
- vonja
- IT
- jpg
- munkaerő
- nyelv
- Nyelvek
- tojók
- jogos
- kevesebb
- szintek
- Tőkeáttétel
- könyvtár
- élet
- mint
- Valószínű
- keres
- Sok
- fontos
- csinál
- malware
- sok
- anyagok
- Lehet..
- MFA
- hiba
- modern
- több
- a legtöbb
- motivált
- mozog
- sok
- többszörös
- elnevezési
- Szükség
- szükséges
- nem
- Megjegyzések
- Most
- of
- Ajánlat
- Ajánlatok
- hivatalos
- on
- egyszer
- ONE
- nyitva
- nyílt forráskódú
- opció
- or
- szervezet
- szervezetek
- Más
- ki
- átfogó
- saját
- csomag
- csomagok
- különös
- tengely
- Plató
- Platón adatintelligencia
- PlatoData
- pont
- esetleg
- potenciálisan
- elnök
- megakadályozása
- Programozás
- programozási nyelvek
- Programok
- program
- projektek
- vontatás
- Nyomja
- Piton
- kérdés
- Kérdések
- tényleg
- nemrég
- újrahasznosítása
- eltávolított
- raktár
- hírnév
- szükség
- követelmények
- kutatók
- jobb
- futás
- s
- biztonságosabb
- Mondott
- azt mondják
- azt mondja,
- forgatókönyvek
- biztonság
- biztonsági jelző
- látott
- kiválasztása
- ülés
- ülések
- ő
- <p></p>
- Ezüst
- óta
- weboldal
- szoftver
- forrás
- forráskód
- Lépés
- Lépései
- Még mindig
- megáll
- ilyen
- kínálat
- ellátási lánc
- felületi
- kapcsoló
- taktika
- Vesz
- átvenni
- bevétel
- hogy
- A
- azok
- Őket
- akkor
- Ott.
- Ezek
- ezt
- azok
- fenyegetés
- fenyegetés szereplői
- fenyegetés-intelligencia
- nak nek
- jelképes
- tokenek
- szerszámok
- baj
- Megbízható
- ismeretlen
- használható
- Használat
- használ
- használt
- használó
- Felhasználók
- segítségével
- rendszerint
- különféle
- Ve
- Ellen
- Alelnök
- Út..
- módon
- we
- Mit
- amikor
- ami
- míg
- miért
- széles körben
- lesz
- val vel
- szavak
- Munka
- érdemes
- lenne
- év
- zephyrnet