Python プログラミング言語の公式オープンソース コード リポジトリである Python Package Index (PyPI) では、2 年末までにすべてのユーザー アカウントで 2023 要素認証 (XNUMXFA) を有効にすることが義務付けられます。
このセキュリティ対策は、サイバー攻撃者がメンテナーアカウントを侵害したり、既存の正当なプロジェクトに悪意のあるコードを挿入したりすることを防ぐのに役立つかもしれないが、ソフトウェアサプライチェーン全体のセキュリティを強化するという点では特効薬ではないと研究者らは警告している。
「今から年末までの間に、PyPI は 2FA の使用状況に基づいて特定のサイト機能へのアクセスの制限を開始します」と PyPI 管理者兼メンテナーの Donald Stufft 氏は次のように説明しました。 最近のブログ投稿。 「さらに、早期施行のために特定のユーザーまたはプロジェクトの選択を開始する可能性があります。」
2FA を実装するために、パッケージ管理者はセキュリティ トークンやその他のハードウェア デバイス、または認証アプリを使用するオプションを利用できます。 そしてStufft氏は、ユーザーはどちらかの使用に切り替えることが奨励されていると述べた。 PyPI の信頼できる発行者 コードを PyPI にアップロードするための機能または API トークン。
PyPI の悪意のあるパッケージ活動のステミング
この発表は、さまざまなソフトウェア プログラムやアプリにマルウェアを侵入させ、その後広く拡散する可能性のあるサイバー犯罪者による攻撃が多数発生している中で行われた。 PyPI以来、 npm などの他のリポジトリ GitHub には、開発者がこれらのサービスを構築するために使用するビルディング ブロックが格納されており、コンテンツを侵害することはそのための優れた方法です。
研究者らは、特に 2FA (これは GitHub も最近実装されました) は、悪意のある者がアプリにフックを侵入させる方法の XNUMX つである開発者アカウントの乗っ取りを防ぐのに役立ちます。
「私たちは見てきました フィッシング攻撃が開始されました ReversingLabs の脅威インテリジェンス擁護ディレクター、アシュリー・ベンジ氏は、「これらのアカウントを侵害することを目的とした一般的に使用される PyPI パッケージのプロジェクト管理者に対して、これらのアカウントが侵害されると、問題の PyPI プロジェクトに悪意のあるコードをプッシュするために簡単に使用される可能性があります」と述べています。 。」
クロールのサイバーリスク担当バイスプレジデント、デイブ・トルーマン氏によると、初期感染の最も可能性の高いシナリオのXNUMXつは、開発者が悪意のあるパッケージを誤ってインストールすること(たとえば、Pythonのインストールコマンドを誤って入力すること)だという。
「悪意のあるパッケージの多くには、認証情報やブラウザのセッション Cookie を盗む機能が含まれており、インストールされている悪意のあるパッケージ上で実行されるようにコード化されています」と同氏は説明します。 「この時点で、マルウェアは、PyPI で使用可能なログインを含む可能性のある認証情報とセッションを盗みます。言い換えれば、ある開発者が攻撃者にピボットを許可する可能性があります。」 大規模なサプライチェーン攻撃 開発者が何にアクセスできるかによって異なりますが、PyPI の 2FA は攻撃者によるそれの悪用を阻止するのに役立ちます。」
ソフトウェア サプライ チェーンのセキュリティに関するさらなる取り組み
ReversingLabs の Benge 氏は、PyPI の 2FA 要件は正しい方向への一歩ではあるものの、ソフトウェア サプライ チェーンを実際にロックダウンするには、より多くのセキュリティ層が必要であると指摘しています。それは、サイバー犯罪者がソフトウェア リポジトリを利用する最も一般的な方法の XNUMX つが、 独自の悪意のあるパッケージをアップロードする 開発者を騙してソフトウェアに引き込むことを期待しています。
結局のところ、誰でも何の質問もなく PyPI アカウントにサインアップできます。
これらの取り組みには通常、ありふれたソーシャル エンジニアリング戦術が含まれます、と彼女は言います。」タイポスクワッティングはよくあること — たとえば、パッケージに「djanga」(悪意のあるコードを含む)という名前を付けるのに対し、「django」(正規で一般的に使用されるライブラリ)という名前を付けるなどです。」
もう 1 つの戦術は、放棄されたプロジェクトを探し出して復活させることです。 「以前は問題のなかったプロジェクトが放棄され、削除され、マルウェアをホストするために再利用されます。 termcolour と同様このリサイクル アプローチは、悪意のある攻撃者に、以前のプロジェクトの正当な評判を利用して開発者を誘惑するという利点を提供します。
「敵対者は継続的に複数の方法を考え出しています。 開発者に悪意のあるパッケージを使用させるそのため、PyPi のようなソフトウェア リポジトリを備えた Python やその他のプログラミング言語では、セキュリティに対する包括的なソフトウェア サプライ チェーンのアプローチを持つことが重要です」と Lineaje の CEO 兼共同創設者の Javed Hasan 氏は述べています。
また、2FA を破るには複数の方法があると Benge 氏は指摘しています。 SIM交換、OIDC 悪用、およびセッション ハイジャック。 これらは労働集約的な傾向にありますが、意欲的な攻撃者は、それでも MFA や間違いなく 2FA を回避しようと苦労するでしょう、と彼女は言います。
「このような攻撃には、攻撃者によるより高いレベルの関与と、動機の低い攻撃者を阻止するための多くの追加手順が必要ですが、組織のサプライ チェーンを侵害することは、脅威者にとって潜在的に多大な見返りをもたらすため、追加の努力にはそれだけの価値があると多くの人が判断するかもしれません。 " 彼女が言います。
リポジトリは環境をより安全にするための措置を講じていますが、組織や開発者は独自の予防措置を講じる必要があるとハサン氏はアドバイスします。
「組織は、企業がソフトウェアの内容を解析し、未知の危険なコンポーネントの導入を回避するのに役立つ最新のサプライチェーン改ざん検出ツールを必要としています」と彼は言います。また、次のような取り組みも ソフトウェア部品表 (SBOM) & 攻撃対象領域の管理 助けることができる。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- プラトアイストリーム。 Web3 データ インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- 未来を鋳造する w エイドリエン・アシュリー。 こちらからアクセスしてください。
- PREIPO® を使用して PRE-IPO 企業の株式を売買します。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/application-security/pypi-2fa-requirements-dont-go-far-enough
- :持っている
- :は
- :not
- $UP
- 2023
- 2FA
- a
- アクセス
- アカウント乗っ取り
- アカウント
- 俳優
- 添加
- NEW
- 利点
- アドボカシー
- に対して
- すべて
- 許す
- また
- の中に
- an
- &
- お知らせ
- 誰も
- API
- アプリ
- アプローチ
- アプリ
- です
- 周りに
- At
- 攻撃
- 認証
- 避ける
- バック
- 悪い
- ベース
- BE
- なぜなら
- 始まる
- さ
- 恩恵
- の間に
- 札
- ブロック
- ブログ
- ブレーク
- 持って来る
- ブラウザ
- ビルド
- 建物
- 焙煎が極度に未発達や過発達のコーヒーにて、クロロゲン酸の味わいへの影響は強くなり、金属を思わせる味わいと乾いたマウスフィールを感じさせます。
- by
- 缶
- 最高経営責任者(CEO)
- 一定
- 確かに
- チェーン
- 共同創設者
- コード
- コード化
- 来ます
- コマンドと
- 一般に
- 企業
- コンポーネント
- 包括的な
- 妥協
- 損害を受けた
- 妥協する
- 中身
- 継続的に
- クッキー
- 可能性
- Credentials
- 重大な
- サイバー犯罪者
- 危険な
- デイブ
- 決めます
- によっては
- 展開
- 検出
- Developer
- 開発者
- デバイス
- 方向
- 取締役
- ジャンゴ
- do
- ドン
- ドナルド
- ダウン
- 早い
- 簡単に
- 努力
- 努力
- どちら
- enable
- 奨励
- end
- 執行
- 婚約
- 十分な
- 環境
- エーテル(ETH)
- 例
- 既存の
- 説明
- 説明
- 搾取
- 余分な
- 遠く
- 特徴
- 前者
- 以前は
- から
- 機能性
- 取得する
- GitHubの
- Go
- 素晴らしい
- Hardware
- ハードウェアデバイス
- 持ってる
- he
- 助けます
- より高い
- フック
- 期待している
- ホスティング
- お家の掃除
- HTTPS
- 巨大な
- 狩り
- 実装する
- in
- その他の
- include
- 含めて
- index
- 感染
- 初期
- install
- インストールする
- インテリジェンス
- 意図された
- に
- 巻き込む
- IT
- JPG
- 労働
- 言語
- ESL, ビジネスESL <br> 中国語/フランス語、その他
- 層
- 正当な
- less
- レベル
- 活用します
- 図書館
- 生活
- ような
- 可能性が高い
- 探して
- たくさん
- 主要な
- make
- マルウェア
- 多くの
- 材料
- 五月..
- MFA
- ミス
- モダン
- 他には?
- 最も
- やる気
- ずっと
- の試合に
- 命名
- 必要
- 必要とされる
- いいえ
- ノート
- 今
- of
- オファリング
- オファー
- 公式
- on
- かつて
- ONE
- 開いた
- オープンソース
- オプション
- or
- 組織
- 組織
- その他
- でる
- 全体
- 自分の
- パッケージ
- パッケージ
- 特定の
- 枢軸
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- ポイント
- おそらく
- :
- 社長
- 防ぐ
- プログラミング
- プログラミング言語
- プログラム
- プロジェクト
- プロジェクト(実績作品)
- 引き
- プッシュ
- Python
- 質問
- 質問
- 本当に
- 最近
- リサイクル
- 削除済み
- 倉庫
- 評判
- 必要とする
- 要件
- 研究者
- 右
- ラン
- s
- より安全な
- 前記
- 言う
- 言う
- シナリオ
- セキュリティ
- セキュリティトークン
- 見て
- 選択
- セッション
- セッション
- 彼女
- 符号
- シルバー
- から
- ウェブサイト
- ソフトウェア
- ソース
- ソースコード
- 手順
- ステップ
- まだ
- Force Stop
- そのような
- 供給
- サプライチェーン
- 表面
- スイッチ
- 戦術
- 取る
- 乗っ取り
- 取得
- それ
- アプリ環境に合わせて
- それら
- その後
- そこ。
- ボーマン
- この
- それらの
- 脅威
- 脅威アクター
- 脅威インテリジェンス
- 〜へ
- トークン
- トークン
- 豊富なツール群
- トラブル
- 信頼されている
- 未知の
- 使用可能な
- 使用法
- つかいます
- 中古
- ユーザー
- users
- 通常
- さまざまな
- Ve
- 対
- 副会長
- 仕方..
- 方法
- we
- この試験は
- いつ
- which
- while
- なぜ
- 広く
- 意志
- 言葉
- 仕事
- 価値
- でしょう
- 年
- ゼファーネット