Il repository ufficiale di codice open source per il linguaggio di programmazione Python, il Python Package Index (PyPI), richiederà a tutti gli account utente di abilitare l'autenticazione a due fattori (2FA) entro la fine del 2023.
The security move may help prevent cyberattackers from compromising maintainer accounts and injecting malicious code into existing legitimate projects, but it's not a silver bullet when it comes to shoring up overall software supply chain security, researchers warn.
"Between now and the end of the year, PyPI will begin gating access to certain site functionality based on 2FA usage," explained PyPI administrator and maintainer Donald Stufft, in a post recente sul blog. "In addition, we may begin selecting certain users or projects for early enforcement."
Per implementare 2FA, i manutentori del pacchetto hanno la possibilità di utilizzare un token di sicurezza o un altro dispositivo hardware o un'app di autenticazione; e Stufft ha affermato che gli utenti sono incoraggiati a passare all'utilizzo di entrambi PyPI's Trusted Publishers funzionalità o token API per caricare il codice su PyPI.
Stemming PyPI's Malicious Package Activity
L'annuncio arriva in mezzo a una serie di attacchi da parte di criminali informatici che cercano di infiltrarsi in vari programmi software e app con malware che possono poi essere ampiamente diffusi. Poiché PyPI e altri repository come npm e GitHub ospitano gli elementi costitutivi che gli sviluppatori utilizzano per creare tali offerte, comprometterne i contenuti è un ottimo modo per farlo.
I ricercatori affermano che 2FA in particolare (che Anche GitHub è stato recentemente implementato) aiuterà a prevenire l'acquisizione dell'account dello sviluppatore, che è un modo in cui i malintenzionati ottengono i loro hook nelle app.
"Abbiamo visto attacchi di phishing lanciati against the project maintainers for commonly used PyPI packages that are intended to compromise those accounts," says Ashlee Benge, director of threat intelligence advocacy at ReversingLabs. "Once compromised, those accounts can easily be used to push malicious code to the PyPI project in question."
Uno degli scenari più probabili di infezione iniziale sarebbe uno sviluppatore che installa accidentalmente un pacchetto dannoso, ad esempio digitando per errore un comando di installazione Python, afferma Dave Truman, vicepresidente del rischio informatico di Kroll.
"A lot of the malicious packages contain functionality for stealing credentials or browser session cookies and are coded to run on the malicious package being installed," he explains. "At this point, the malware would steal their credentials and sessions which could possibly include logins usable with PyPI. In other words … one developer could allow the actor to pivot to un grave attacco alla catena di approvvigionamento depending on what that developer has access to — 2FA on PyPI would help stop the actor taking advantage of [that]."
Altro lavoro sulla sicurezza della supply chain del software da svolgere
ReversingLabs' Benge notes that while PyPI's 2FA requirements are a step in the right direction, more security layers are needed to really lock down the software supply chain. That's because one of the most common ways that cybercriminals leverage software repositories is by caricando i propri pacchetti dannosi nella speranza di indurre gli sviluppatori a inserirli nel loro software.
Dopotutto, chiunque può registrarsi per un account PyPI, senza fare domande.
These efforts usually involve mundane social-engineering tactics, she says: "Il typosquatting è comune — for example, naming a package 'djanga' (containing malicious code) versus 'django' (the legitimate and commonly used library)."
Another tactic is to hunt for abandoned projects to bring back to life. "A formerly benign project is abandoned, removed, and then repurposed for hosting malware, come con termcolor," she explains. This recycling approach offers malicious actors the benefit of using the former project's legitimate reputation to lure in developers.
"Adversaries are continually figuring out multiple ways to indurre gli sviluppatori a utilizzare pacchetti dannosi, which is why it's critical for Python and other programming languages with software repositories like PyPi to have a comprehensive software supply chain approach to security," says Javed Hasan, CEO and co-founder, Lineaje.
Inoltre, ci sono diversi modi per sconfiggere 2FA, osserva Benge, incluso Scambio di SIM, sfruttamento OIDC e dirottamento di sessione. Anche se questi tendono ad essere laboriosi, gli aggressori motivati si prenderanno comunque la briga di cercare di aggirare l'MFA e certamente 2FA, dice.
"Such attacks require much higher levels of engagement by attackers and many additional steps that will deter less motivated threat actors, but compromising an organization's supply chain offers a potentially huge payoff for threat actors, and many may decide that the extra effort is worth it," she says.
Mentre i repository adottano misure per rendere i loro ambienti più sicuri, le organizzazioni e gli sviluppatori devono prendere le proprie precauzioni, consiglia Hasan.
"Organizations need modern supply chain tamper detection tools that help companies break down what's in their software and avoid deployment of unknown and dangerous components," he says. Also, efforts like distinte base software (SBOM) ed gestione della superficie di attacco può aiutare.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoAiStream. Intelligenza dei dati Web3. Conoscenza amplificata. Accedi qui.
- Coniare il futuro con Adryenn Ashley. Accedi qui.
- Acquista e vendi azioni in società PRE-IPO con PREIPO®. Accedi qui.
- Fonte: https://www.darkreading.com/application-security/pypi-2fa-requirements-dont-go-far-enough
- :ha
- :È
- :non
- $ SU
- 2023
- 2FA
- a
- accesso
- Il mio account
- acquisizione dell'account
- conti
- attori
- aggiunta
- aggiuntivo
- Vantaggio
- patrocinio
- contro
- Tutti
- consentire
- anche
- fra
- an
- ed
- Annuncio
- chiunque
- api
- App
- approccio
- applicazioni
- SONO
- in giro
- At
- attacchi
- Autenticazione
- evitare
- precedente
- Vasca
- basato
- BE
- perché
- iniziare
- essendo
- beneficio
- fra
- Bills
- Blocchi
- Blog
- Rompere
- portare
- del browser
- costruire
- Costruzione
- ma
- by
- Materiale
- ceo
- certo
- certamente
- catena
- Co-fondatore
- codice
- codificato
- viene
- Uncommon
- comunemente
- Aziende
- componenti
- globale
- compromesso
- Compromissione
- compromettendo
- testuali
- continuamente
- Cookies
- potuto
- Credenziali
- critico
- i criminali informatici
- Pericoloso
- Dave
- decide
- Dipendente
- deployment
- rivelazione
- Costruttori
- sviluppatori
- dispositivo
- direzione
- Direttore
- Django
- do
- don
- donald
- giù
- Presto
- facilmente
- sforzo
- sforzi
- o
- enable
- incoraggiato
- fine
- applicazione
- Fidanzamento
- abbastanza
- ambienti
- Etere (ETH)
- esempio
- esistente
- ha spiegato
- Spiega
- sfruttamento
- extra
- lontano
- caratteristica
- Nel
- Ex
- precedentemente
- da
- funzionalità
- ottenere
- GitHub
- Go
- grande
- Hardware
- dispositivo hardware
- Avere
- he
- Aiuto
- superiore
- ganci
- spera
- di hosting
- Casa
- HTTPS
- Enorme
- caccia
- realizzare
- in
- In altre
- includere
- Compreso
- Index
- infezione
- inizialmente
- install
- installazione
- Intelligence
- destinato
- ai miglioramenti
- coinvolgere
- IT
- jpg
- lavoro
- Lingua
- Le Lingue
- galline ovaiole
- legittimo
- meno
- livelli
- Leva
- Biblioteca
- Vita
- piace
- probabile
- cerca
- lotto
- maggiore
- make
- il malware
- molti
- Materiale
- Maggio..
- AMF
- errore
- moderno
- Scopri di più
- maggior parte
- motivato
- cambiano
- molti
- multiplo
- di denominazione
- Bisogno
- di applicazione
- no
- Note
- adesso
- of
- offerte
- Offerte
- ufficiale
- on
- una volta
- ONE
- aprire
- open source
- Opzione
- or
- organizzazione
- organizzazioni
- Altro
- su
- complessivo
- proprio
- pacchetto
- Packages
- particolare
- Perno
- Platone
- Platone Data Intelligence
- PlatoneDati
- punto
- forse
- potenzialmente
- Presidente
- prevenire
- Programmazione
- linguaggi di programmazione
- Programmi
- progetto
- progetti
- traino
- Spingi
- Python
- domanda
- Domande
- veramente
- recentemente
- raccolta differenziata
- rimosso
- deposito
- reputazione
- richiedere
- Requisiti
- ricercatori
- destra
- Correre
- s
- più sicuro
- Suddetto
- dire
- dice
- Scenari
- problemi di
- token di sicurezza
- visto
- Selezione
- Sessione
- sessioni
- lei
- segno
- Argento
- da
- site
- Software
- Fonte
- codice sorgente
- step
- Passi
- Ancora
- Fermare
- tale
- fornire
- supply chain
- superficie
- Interruttore
- tattica
- Fai
- acquisizione
- presa
- che
- I
- loro
- Li
- poi
- Là.
- Strumenti Bowman per analizzare le seguenti finiture:
- questo
- quelli
- minaccia
- attori della minaccia
- intelligenza delle minacce
- a
- token
- Tokens
- strumenti
- guaio
- di fiducia
- Sconosciuto
- utilizzabile
- Impiego
- uso
- utilizzato
- Utente
- utenti
- utilizzando
- generalmente
- vario
- Ve
- contro
- Vicepresidente
- Modo..
- modi
- we
- Che
- quando
- quale
- while
- perché
- ampiamente
- volere
- con
- parole
- Lavora
- valore
- sarebbe
- anno
- zefiro