Python 프로그래밍 언어의 공식 오픈 소스 코드 리포지토리인 PyPI(Python Package Index)는 2년 말까지 모든 사용자 계정에서 2023단계 인증(XNUMXFA)을 활성화해야 합니다.
보안 조치는 사이버 공격자가 관리자 계정을 손상시키고 기존의 합법적인 프로젝트에 악성 코드를 주입하는 것을 방지하는 데 도움이 될 수 있지만 전체 소프트웨어 공급망 보안을 강화하는 데 있어 만능은 아니라고 연구원들은 경고합니다.
PyPI 관리자이자 유지관리자인 Donald Stufft는 "지금부터 연말 사이에 PyPI는 2FA 사용을 기반으로 특정 사이트 기능에 대한 액세스를 제어하기 시작할 것입니다"라고 설명했습니다. 최근 블로그 게시. "또한 조기 시행을 위해 특정 사용자나 프로젝트를 선택하기 시작할 수도 있습니다."
2FA를 구현하기 위해 패키지 관리자는 보안 토큰이나 기타 하드웨어 장치 또는 인증 앱을 사용할 수 있습니다. Stufft는 사용자가 다음 중 하나를 사용하도록 전환하도록 권장한다고 말했습니다. PyPI의 신뢰할 수 있는 게시자 PyPI에 코드를 업로드하기 위한 기능 또는 API 토큰.
PyPI의 악성 패키지 활동 차단
이번 발표는 다양한 소프트웨어 프로그램과 앱에 맬웨어를 침투시켜 널리 퍼뜨리려는 사이버 범죄자들의 수많은 공격 가운데 나온 것입니다. PyPI 이후 npm과 같은 다른 저장소 GitHub에는 개발자가 이러한 제품을 구축하는 데 사용하는 빌딩 블록이 있으므로 콘텐츠를 손상시키는 것이 좋은 방법입니다.
연구원들은 특히 2FA( GitHub도 최근에 구현되었습니다.)는 개발자 계정 탈취를 방지하는 데 도움이 됩니다. 이는 악의적인 사용자가 앱에 연결하는 한 가지 방법입니다.
"우리는 봤어 피싱 공격 개시 ReversingLabs의 위협 인텔리전스 옹호 이사인 Ashlee Benge는 "해당 계정을 손상시키려는 일반적으로 사용되는 PyPI 패키지의 프로젝트 유지관리자에 대해 반대합니다. 일단 손상되면 해당 계정은 문제의 PyPI 프로젝트에 악성 코드를 푸시하는 데 쉽게 사용될 수 있습니다." ."
가장 가능성이 높은 초기 감염 시나리오 중 하나는 실수로 Python 설치 명령을 입력하는 것과 같이 개발자가 실수로 악성 패키지를 설치하는 것이라고 Kroll의 사이버 위험 부사장인 Dave Truman은 말합니다.
“많은 악성 패키지에는 자격 증명이나 브라우저 세션 쿠키를 훔치는 기능이 포함되어 있으며 설치 중인 악성 패키지에서 실행되도록 코딩되어 있습니다.”라고 그는 설명합니다. "이 시점에서 악성 코드는 PyPI에서 사용할 수 있는 로그인을 포함할 수 있는 자격 증명과 세션을 훔칠 것입니다. 즉, 한 개발자가 공격자가 다음으로 전환하도록 허용할 수 있습니다. 대규모 공급망 공격 개발자가 액세스할 수 있는 항목에 따라 PyPI의 2FA는 행위자가 [그것]을 활용하는 것을 막는 데 도움이 될 것입니다."
더 많은 소프트웨어 공급망 보안 작업 수행
ReversingLabs의 Benge는 PyPI의 2FA 요구 사항이 올바른 방향으로 나아가는 단계이지만 실제로 소프트웨어 공급망을 잠그려면 더 많은 보안 계층이 필요하다고 지적합니다. 사이버 범죄자가 소프트웨어 저장소를 활용하는 가장 일반적인 방법 중 하나는 다음과 같습니다. 자신의 악성 패키지 업로드 개발자를 속여 소프트웨어로 끌어들이기를 바랍니다.
결국 누구나 질문 없이 PyPI 계정에 가입할 수 있습니다.
이러한 노력에는 일반적으로 일상적인 사회 공학적 전술이 포함된다고 그녀는 말합니다.타이포스쿼팅은 흔한 일입니다 — 예를 들어 패키지 이름을 'djanga'(악성 코드 포함)와 'django'(합법적이고 일반적으로 사용되는 라이브러리)로 지정합니다."
또 다른 전략은 버려진 프로젝트를 찾아 다시 되살리는 것입니다. "이전의 무해한 프로젝트는 폐기되고 제거된 후 악성코드 호스팅을 위해 용도가 변경됩니다. 텀컬러와 마찬가지로"라고 그녀는 설명합니다. 이러한 재활용 접근 방식은 악의적인 행위자가 이전 프로젝트의 정당한 평판을 사용하여 개발자를 유인하는 이점을 제공합니다.
"적들은 지속적으로 다양한 방법을 모색하고 있습니다. 개발자가 악성 패키지를 사용하도록 유도따라서 Python 및 PyPi와 같은 소프트웨어 저장소가 있는 기타 프로그래밍 언어에서 보안에 대한 포괄적인 소프트웨어 공급망 접근 방식을 갖는 것이 중요합니다."라고 Lineaje의 CEO이자 공동 창립자인 Javed Hasan은 말합니다.
또한 2FA를 물리치는 방법에는 여러 가지가 있습니다. Benge는 다음을 포함합니다. SIM 스와핑, OIDC 악용 및 세션 하이재킹. 이들은 노동 집약적인 경향이 있지만 동기 부여된 공격자들은 여전히 MFA와 확실히 2FA를 피해가는 데 어려움을 겪을 것이라고 그녀는 말했습니다.
"이러한 공격에는 공격자의 훨씬 더 높은 수준의 참여와 덜 동기가 부여된 위협 행위자를 저지할 많은 추가 단계가 필요하지만 조직의 공급망을 손상시키는 것은 위협 행위자에게 잠재적으로 큰 보상을 제공하며 많은 사람들은 추가 노력이 그만한 가치가 있다고 결정할 수 있습니다. " 그녀는 말한다.
리포지토리가 환경을 더 안전하게 만들기 위한 조치를 취하는 동안 조직과 개발자는 자체 예방 조치를 취해야 한다고 Hasan은 조언합니다.
"조직에는 소프트웨어 내용을 분석하고 알려지지 않은 위험한 구성 요소의 배포를 방지하는 데 도움이 되는 최신 공급망 변조 감지 도구가 필요합니다."라고 그는 말합니다. 또한 다음과 같은 노력이 소프트웨어 재료 명세서(SBOM) 와 공격 표면 관리 그러나 권한을 얻는 것은 제작자와 사용자 모두에게 시간이 많이 걸리고 복잡할 수 있으며 크리에이티브 커먼즈 라이선스가 이를 해결할 수 있다.
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- PlatoAiStream. Web3 데이터 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 미래 만들기 w Adryenn Ashley. 여기에서 액세스하십시오.
- PREIPO®로 PRE-IPO 회사의 주식을 사고 팔 수 있습니다. 여기에서 액세스하십시오.
- 출처: https://www.darkreading.com/application-security/pypi-2fa-requirements-dont-go-far-enough
- :있다
- :이다
- :아니
- $UP
- 2023
- 2FA
- a
- ACCESS
- 계정
- 계정 인수
- 계정
- 배우
- 또한
- 추가
- 이점
- 옹호
- 반대
- All
- 수
- 또한
- 가운데
- an
- 와
- 강의자료
- 누군가
- API를
- 앱
- 접근
- 앱
- 있군요
- 약
- At
- 공격
- 인증
- 피하기
- 뒤로
- 나쁜
- 기반으로
- BE
- 때문에
- 시작하다
- 존재
- 이익
- 사이에
- 지폐
- 블록
- 블로그
- 흩어져
- 가져
- 브라우저
- 빌드
- 건물
- 비자 면제 프로그램에 해당하는 국가의 시민권을 가지고 있지만
- by
- CAN
- 대표 이사
- 어떤
- 확실히
- 체인
- 공동 설립자
- 암호
- 코드화 된
- 제공
- 공통의
- 일반적으로
- 기업
- 구성 요소들
- 포괄적 인
- 타협
- 손상된
- 손상
- 내용
- 지속적으로
- 쿠키
- 수
- 신임장
- 임계
- 사이버 범죄자
- 위험한
- 데이브
- 결정하다
- 의존
- 전개
- Detection System
- 개발자
- 개발자
- 장치
- 방향
- 책임자
- 장고
- do
- 돈
- 도널드
- 아래 (down)
- 초기의
- 용이하게
- 노력
- 노력
- 중
- 가능
- 격려
- end
- 시행
- 약혼
- 충분히
- 환경
- 에테르 (ETH)
- 예
- 현존하는
- 설명
- 설명
- 착취
- 여분의
- 멀리
- 특색
- 럭셔리
- 이전
- 전에
- 에
- 기능
- 얻을
- GitHub의
- Go
- 큰
- 하드웨어
- 하드웨어 장치
- 있다
- he
- 도움
- 더 높은
- 후크
- 희망
- 호스팅
- 집
- HTTPS
- 거대한
- 사냥
- 구현
- in
- 기타의
- 포함
- 포함
- 색인
- 감염
- 처음에는
- 설치
- 설치
- 인텔리전스
- 예정된
- 으로
- 감다
- IT
- JPG
- 노동
- 언어
- 언어
- 레이어
- 합법적 인
- 적게
- 레벨
- 이점
- 도서관
- 생활
- 처럼
- 아마도
- 찾고
- 롯
- 주요한
- 확인
- 악성 코드
- .
- 재료
- XNUMX월..
- MFA
- 잘못
- 현대
- 배우기
- 가장
- 동기 부여
- 움직임
- 많은
- 여러
- 명명
- 필요
- 필요
- 아니
- 노트
- 지금
- of
- 오퍼링
- 제공
- 공무원
- on
- 일단
- ONE
- 열 수
- 오픈 소스
- 선택권
- or
- 조직
- 조직
- 기타
- 아웃
- 전체
- 자신의
- 꾸러미
- 패키지
- 특별한
- 피벗
- 플라톤
- 플라톤 데이터 인텔리전스
- 플라토데이터
- 포인트 적립
- 혹시
- 잠재적으로
- 대통령
- 예방
- 프로그램 작성
- 프로그래밍 언어
- 프로그램
- 프로젝트
- 프로젝트
- 당기
- 푸시
- Python
- 문제
- 문의
- 정말
- 최근에
- 재활용
- 제거됨
- 저장소
- 평판
- 필요
- 요구조건 니즈
- 연구원
- 연락해주세요
- 달리기
- s
- 안전
- 말했다
- 라고
- 라고
- 시나리오
- 보안
- 보안 토큰
- 본
- 선택
- 세션
- 세션
- 그녀
- 기호
- 은
- 이후
- 대지
- 소프트웨어
- 출처
- 소스 코드
- 단계
- 단계
- 아직도
- 중지
- 이러한
- 공급
- 공급망
- 표면
- 스위치
- 전술
- 받아
- 인계
- 복용
- 그
- XNUMXD덴탈의
- 그들의
- 그들
- 그때
- 그곳에.
- Bowman의
- 이
- 그
- 위협
- 위협 행위자
- 위협 정보
- 에
- 토큰
- 토큰
- 검색을
- 수고
- 신뢰할 수있는
- 알 수없는
- 쓸 수 있는
- 용법
- 사용
- 익숙한
- 사용자
- 사용자
- 사용
- 보통
- 여러
- Ve
- 대
- 부통령
- 방법..
- 방법
- we
- 뭐
- 언제
- 어느
- 동안
- why
- 크게
- 의지
- 과
- 말
- 작업
- 가치
- 겠지
- year
- 제퍼 넷