Repositori kode sumber terbuka resmi untuk bahasa pemrograman Python, Python Package Index (PyPI), akan mewajibkan semua akun pengguna untuk mengaktifkan autentikasi dua faktor (2FA) pada akhir tahun 2023.
Langkah keamanan ini mungkin membantu mencegah penyerang dunia maya untuk menyusupi akun pengelola dan memasukkan kode berbahaya ke dalam proyek resmi yang sudah ada, namun hal ini bukanlah solusi yang tepat untuk menopang keamanan rantai pasokan perangkat lunak secara keseluruhan, para peneliti memperingatkan.
“Antara sekarang dan akhir tahun, PyPI akan mulai membuka akses ke fungsionalitas situs tertentu berdasarkan penggunaan 2FA,” jelas administrator dan pengelola PyPI Donald Stufft, dalam sebuah posting blog terbaru. “Selain itu, kami mungkin mulai memilih pengguna atau proyek tertentu untuk penegakan hukum lebih awal.”
Untuk mengimplementasikan 2FA, pengelola paket memiliki opsi untuk menggunakan token keamanan atau perangkat keras lain, atau aplikasi autentikasi; dan Stufft mengatakan bahwa pengguna didorong untuk beralih menggunakan keduanya Penerbit Tepercaya PyPI fitur atau token API untuk mengunggah kode ke PyPI.
Membendung Aktivitas Paket Berbahaya PyPI
Pengumuman tersebut muncul di tengah banyaknya serangan oleh penjahat dunia maya yang ingin menyusup ke berbagai program perangkat lunak dan aplikasi dengan malware yang kemudian dapat disebarluaskan. Sejak PyPI dan repositori lain seperti npm dan GitHub menampung blok bangunan yang digunakan pengembang untuk membuat penawaran tersebut, mengkompromikan kontennya adalah cara terbaik untuk melakukannya.
Para peneliti mengatakan bahwa 2FA khususnya (yang GitHub juga baru saja diimplementasikan) akan membantu mencegah pengambilalihan akun pengembang, yang merupakan salah satu cara pelaku jahat mendapatkan kaitan mereka ke dalam aplikasi.
“Kami telah melihat serangan phishing diluncurkan terhadap pengelola proyek untuk paket PyPI yang umum digunakan yang dimaksudkan untuk menyusupi akun-akun tersebut,” kata Ashlee Benge, direktur advokasi intelijen ancaman di ReversingLabs. “Setelah disusupi, akun-akun tersebut dapat dengan mudah digunakan untuk memasukkan kode berbahaya ke proyek PyPI yang dimaksud. ."
Salah satu skenario infeksi awal yang paling mungkin terjadi adalah pengembang secara tidak sengaja memasang paket jahat, misalnya, salah mengetik perintah pemasangan Python, kata Dave Truman, wakil presiden risiko dunia maya di Kroll.
“Banyak paket jahat berisi fungsi untuk mencuri kredensial atau cookie sesi browser dan diberi kode untuk dijalankan pada paket jahat yang sedang diinstal,” jelasnya. “Pada titik ini, malware akan mencuri kredensial dan sesi mereka yang mungkin mencakup login yang dapat digunakan dengan PyPI. Dengan kata lain … satu pengembang dapat mengizinkan aktor untuk melakukan pivot ke serangan rantai pasokan utama tergantung pada apa yang dapat diakses oleh pengembang tersebut — 2FA di PyPI akan membantu menghentikan aktor mengambil keuntungan dari [itu]."
Lebih Banyak Pekerjaan Keamanan Rantai Suplai Perangkat Lunak yang Harus Dilakukan
Benge dari ReversingLabs mencatat bahwa meskipun persyaratan 2FA PyPI adalah langkah ke arah yang benar, diperlukan lebih banyak lapisan keamanan untuk benar-benar mengunci rantai pasokan perangkat lunak. Hal ini karena salah satu cara paling umum yang dilakukan penjahat dunia maya untuk memanfaatkan repositori perangkat lunak adalah dengan mengunggah paket jahat mereka sendiri dengan harapan membodohi pengembang untuk menarik mereka ke dalam perangkat lunak mereka.
Lagi pula, siapa pun dapat mendaftar untuk akun PyPI, tanpa pertanyaan.
Upaya-upaya ini biasanya melibatkan taktik rekayasa sosial yang biasa-biasa saja, katanya: "Typosquat adalah hal biasa — misalnya, memberi nama sebuah paket 'djanga' (berisi kode berbahaya) versus 'django' (perpustakaan yang sah dan umum digunakan)."
Taktik lainnya adalah memburu proyek-proyek yang terbengkalai untuk dihidupkan kembali. “Proyek yang sebelumnya tidak berbahaya ditinggalkan, dihapus, dan kemudian digunakan kembali untuk menampung malware, seperti dengan termcolor," jelasnya. Pendekatan daur ulang ini menawarkan keuntungan bagi pelaku kejahatan dengan menggunakan reputasi sah proyek sebelumnya untuk memikat pengembang.
“Musuh terus mencari berbagai cara untuk melakukannya membuat pengembang menggunakan paket berbahaya, itulah mengapa sangat penting bagi Python dan bahasa pemrograman lain dengan repositori perangkat lunak seperti PyPi untuk memiliki pendekatan rantai pasokan perangkat lunak yang komprehensif terhadap keamanan," kata Javed Hasan, CEO dan salah satu pendiri, Lineaje.
Juga, ada banyak cara untuk mengalahkan 2FA, termasuk catatan Benge SIM bertukar, eksploitasi OIDC, dan pembajakan sesi. Meskipun ini cenderung padat karya, penyerang yang termotivasi masih akan bersusah payah mencoba bekerja di sekitar MFA dan tentu saja 2FA, katanya.
“Serangan seperti ini memerlukan tingkat keterlibatan yang lebih tinggi dari para penyerang dan banyak langkah tambahan yang akan menghalangi pelaku ancaman yang kurang termotivasi, namun mengorbankan rantai pasokan organisasi menawarkan potensi keuntungan yang besar bagi pelaku ancaman, dan banyak yang mungkin memutuskan bahwa upaya ekstra tersebut sepadan. " dia berkata.
Sementara repositori mengambil langkah-langkah untuk membuat lingkungan mereka lebih aman, organisasi dan pengembang perlu mengambil tindakan pencegahan mereka sendiri, saran Hasan.
“Organisasi memerlukan alat deteksi gangguan rantai pasokan modern yang membantu perusahaan menguraikan apa yang ada dalam perangkat lunak mereka dan menghindari penerapan komponen yang tidak diketahui dan berbahaya,” katanya. Juga, upaya seperti tagihan bahan perangkat lunak (SBOM) dan serangan manajemen permukaan dapat membantu.
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- PlatoAiStream. Kecerdasan Data Web3. Pengetahuan Diperkuat. Akses Di Sini.
- Mencetak Masa Depan bersama Adryenn Ashley. Akses Di Sini.
- Beli dan Jual Saham di Perusahaan PRE-IPO dengan PREIPO®. Akses Di Sini.
- Sumber: https://www.darkreading.com/application-security/pypi-2fa-requirements-dont-go-far-enough
- :memiliki
- :adalah
- :bukan
- $NAIK
- 2023
- 2FA
- a
- mengakses
- Akun
- pengambilalihan akun
- Akun
- aktor
- tambahan
- Tambahan
- Keuntungan
- pembelaan
- terhadap
- Semua
- mengizinkan
- juga
- di tengah-tengah
- an
- dan
- Pengumuman
- siapapun
- api
- aplikasi
- pendekatan
- aplikasi
- ADALAH
- sekitar
- At
- Serangan
- Otentikasi
- menghindari
- kembali
- Buruk
- berdasarkan
- BE
- karena
- mulai
- makhluk
- manfaat
- antara
- Uang kertas
- Blok
- Blog
- Istirahat
- membawa
- Browser
- membangun
- Bangunan
- tapi
- by
- CAN
- ceo
- tertentu
- Pasti
- rantai
- Co-founder
- kode
- berkode
- datang
- Umum
- umum
- Perusahaan
- komponen
- luas
- kompromi
- Dikompromikan
- kompromi
- isi
- terus-menerus
- kue
- bisa
- Surat kepercayaan
- kritis
- penjahat cyber
- Berbahaya
- Dave
- memutuskan
- Tergantung
- penyebaran
- Deteksi
- Pengembang
- pengembang
- alat
- arah
- Kepala
- Django
- do
- don
- donald
- turun
- Awal
- mudah
- usaha
- upaya
- antara
- aktif
- didorong
- akhir
- pelaksanaan
- interaksi
- cukup
- lingkungan
- Eter (ETH)
- contoh
- ada
- menjelaskan
- Menjelaskan
- eksploitasi
- tambahan
- jauh
- Fitur
- Untuk
- Bekas
- dahulu
- dari
- fungsi
- mendapatkan
- GitHub
- Go
- besar
- Perangkat keras
- perangkat perangkat keras
- Memiliki
- he
- membantu
- lebih tinggi
- kait
- berharap
- tuan
- Rumah
- HTTPS
- besar
- berburu
- melaksanakan
- in
- Di lain
- memasukkan
- Termasuk
- indeks
- infeksi
- mulanya
- install
- Instalasi
- Intelijen
- dimaksudkan
- ke
- melibatkan
- IT
- jpg
- tenaga kerja
- bahasa
- Bahasa
- lapisan
- sah
- kurang
- adalah ide yang bagus
- Leverage
- Perpustakaan
- Hidup
- 'like'
- Mungkin
- mencari
- Lot
- utama
- membuat
- malware
- banyak
- bahan
- Mungkin..
- MFA
- kesalahan
- modern
- lebih
- paling
- termotivasi
- pindah
- banyak
- beberapa
- penamaan
- Perlu
- dibutuhkan
- tidak
- Catatan
- sekarang
- of
- Penawaran
- Penawaran
- resmi
- on
- sekali
- ONE
- Buka
- open source
- pilihan
- or
- organisasi
- organisasi
- Lainnya
- di luar
- secara keseluruhan
- sendiri
- paket
- paket
- tertentu
- Poros
- plato
- Kecerdasan Data Plato
- Data Plato
- Titik
- mungkin
- berpotensi
- presiden
- mencegah
- Pemrograman
- bahasa pemrograman
- program
- proyek
- memprojeksikan
- menarik
- Dorong
- Ular sanca
- pertanyaan
- Pertanyaan
- benar-benar
- baru-baru ini
- daur ulang
- Dihapus
- gudang
- reputasi
- membutuhkan
- Persyaratan
- peneliti
- benar
- Run
- s
- lebih aman
- Tersebut
- mengatakan
- mengatakan
- skenario
- keamanan
- token keamanan
- terlihat
- memilih
- Sidang
- sesi
- dia
- menandatangani
- Silver
- sejak
- situs web
- Perangkat lunak
- sumber
- kode sumber
- Langkah
- Tangga
- Masih
- berhenti
- seperti itu
- menyediakan
- supply chain
- Permukaan
- Beralih
- taktik
- Mengambil
- pengambilalihan
- pengambilan
- bahwa
- Grafik
- mereka
- Mereka
- kemudian
- Sana.
- Ini
- ini
- itu
- ancaman
- aktor ancaman
- intelijen ancaman
- untuk
- token
- Token
- alat
- kesulitan
- Terpercaya
- tidak dikenal
- dapat digunakan
- penggunaan
- menggunakan
- bekas
- Pengguna
- Pengguna
- menggunakan
- biasanya
- berbagai
- Ve
- Lawan
- Wakil Presiden
- Cara..
- cara
- we
- Apa
- ketika
- yang
- sementara
- mengapa
- sangat
- akan
- dengan
- kata
- Kerja
- bernilai
- akan
- tahun
- zephyrnet.dll