De officiële open source-coderepository voor de programmeertaal Python, de Python Package Index (PyPI), vereist dat alle gebruikersaccounts tegen het einde van 2 tweefactorauthenticatie (2023FA) inschakelen.
Deze beveiligingsmaatregel kan helpen voorkomen dat cyberaanvallers de accounts van beheerders in gevaar brengen en kwaadaardige code in bestaande legitieme projecten injecteren, maar het is geen wondermiddel als het gaat om het versterken van de algehele beveiliging van de softwaretoeleveringsketen, waarschuwen onderzoekers.
"Tussen nu en het einde van het jaar zal PyPI beginnen met het toegang verlenen tot bepaalde sitefunctionaliteit op basis van 2FA-gebruik", legt PyPI-beheerder en -onderhouder Donald Stufft uit in een recente blogposting. "Bovendien kunnen we beginnen met het selecteren van bepaalde gebruikers of projecten voor vroegtijdige handhaving."
Om 2FA te implementeren, hebben pakketbeheerders de mogelijkheid om een beveiligingstoken of ander hardwareapparaat of een authenticatie-app te gebruiken; en Stufft zei dat gebruikers worden aangemoedigd om over te schakelen naar het gebruik van een van beide PyPI's vertrouwde uitgevers functie of API-tokens om code naar PyPI te uploaden.
Het stoppen van de kwaadaardige pakketactiviteit van PyPI
De aankondiging komt te midden van een hele reeks aanvallen door cybercriminelen die verschillende softwareprogramma's en apps willen infiltreren met malware die vervolgens op grote schaal kan worden verspreid. Sinds PyPI en andere repositories zoals npm en GitHub herbergen de bouwstenen die ontwikkelaars gebruiken om dat aanbod te bouwen, het compromitteren van hun inhoud is een geweldige manier om dat te doen.
Onderzoekers zeggen dat met name 2FA (welke GitHub is onlangs ook geïmplementeerd) zal helpen voorkomen dat ontwikkelaarsaccounts worden overgenomen, wat een manier is waarop kwaadwillenden hun hooks in apps krijgen.
"We hebben gezien phishing-aanvallen gelanceerd tegen de projectbeheerders voor veelgebruikte PyPI-pakketten die bedoeld zijn om die accounts in gevaar te brengen", zegt Ashlee Benge, directeur Threat Intelligence Advocacy bij ReversingLabs. "Eenmaal gecompromitteerd kunnen die accounts gemakkelijk worden gebruikt om kwaadaardige code naar het PyPI-project in kwestie te pushen ."
Een van de meest waarschijnlijke scenario's van een eerste infectie zou zijn dat een ontwikkelaar per ongeluk een kwaadaardig pakket installeert, bijvoorbeeld door per ongeluk een Python-installatieopdracht te typen, zegt Dave Truman, vice-president van cyberrisico bij Kroll.
"Veel van de kwaadaardige pakketten bevatten functionaliteit voor het stelen van inloggegevens of browsersessiecookies en zijn gecodeerd om te worden uitgevoerd op het kwaadaardige pakket dat wordt geïnstalleerd", legt hij uit. "Op dit punt zou de malware hun inloggegevens en sessies stelen, die mogelijk logins kunnen bevatten die bruikbaar zijn met PyPI. Met andere woorden... één ontwikkelaar zou de actor kunnen toestaan om naar een grote aanval op de toeleveringsketen afhankelijk van waartoe die ontwikkelaar toegang heeft, zou 2FA op PyPI helpen voorkomen dat de acteur daar misbruik van maakt."
Er is meer werk aan de winkel voor beveiliging van de toeleveringsketen van software
Benge van ReversingLabs merkt op dat hoewel de 2FA-vereisten van PyPI een stap in de goede richting zijn, er meer beveiligingslagen nodig zijn om de software-toeleveringsketen echt af te sluiten. Dat komt omdat een van de meest voorkomende manieren waarop cybercriminelen gebruik maken van softwareopslagplaatsen is door het uploaden van hun eigen kwaadaardige pakketten in de hoop ontwikkelaars te misleiden om ze in hun software te trekken.
Iedereen kan zich immers zonder vragen aanmelden voor een PyPI-account.
Deze inspanningen omvatten meestal alledaagse tactieken voor social engineering, zegt ze: "Typosquatting is gebruikelijk — bijvoorbeeld door een pakket de naam 'djanga' (die kwaadaardige code bevat) versus 'django' (de legitieme en veelgebruikte bibliotheek) te geven."
Een andere tactiek is het zoeken naar verlaten projecten om ze weer tot leven te wekken. "Een voorheen goedaardig project wordt verlaten, verwijderd en vervolgens opnieuw gebruikt voor het hosten van malware, zoals met termkleur', legt ze uit. Deze recyclingaanpak biedt kwaadwillende actoren het voordeel dat ze de legitieme reputatie van het voormalige project kunnen gebruiken om ontwikkelaars te lokken.
‘Tegenstanders bedenken voortdurend verschillende manieren om dat te doen ontwikkel ontwikkelaars om kwaadaardige pakketten te gebruikenDaarom is het van cruciaal belang dat Python en andere programmeertalen met softwarerepository's als PyPi een alomvattende benadering van de beveiliging van de softwaretoeleveringsketen hebben", zegt Javed Hasan, CEO en medeoprichter van Lineaje.
Er zijn ook meerdere manieren om 2FA, Benge-notities, te verslaan, waaronder SIM-uitwisseling, OIDC-exploitatie en sessiekaping. Hoewel deze meestal arbeidsintensief zijn, zullen gemotiveerde aanvallers nog steeds de moeite nemen om MFA en zeker 2FA te omzeilen, zegt ze.
“Dergelijke aanvallen vereisen een veel hogere mate van betrokkenheid van aanvallers en veel extra stappen die minder gemotiveerde bedreigingsactoren zullen afschrikken, maar het compromitteren van de toeleveringsketen van een organisatie biedt een potentieel enorme beloning voor bedreigingsactoren, en velen kunnen besluiten dat de extra inspanning de moeite waard is. " ze zegt.
Terwijl repositories stappen ondernemen om hun omgeving veiliger te maken, moeten organisaties en ontwikkelaars hun eigen voorzorgsmaatregelen nemen, adviseert Hasan.
"Organisaties hebben moderne tools nodig voor het detecteren van sabotage in de toeleveringsketen, waarmee bedrijven kunnen opsplitsen wat er in hun software zit en de inzet van onbekende en gevaarlijke componenten kunnen vermijden", zegt hij. Ook inspanningen zoals software stuklijsten (SBOM's) en aanval oppervlak beheer kan helpen.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoAiStream. Web3 gegevensintelligentie. Kennis versterkt. Toegang hier.
- De toekomst slaan met Adryenn Ashley. Toegang hier.
- Koop en verkoop aandelen in PRE-IPO-bedrijven met PREIPO®. Toegang hier.
- Bron: https://www.darkreading.com/application-security/pypi-2fa-requirements-dont-go-far-enough
- : heeft
- :is
- :niet
- $UP
- 2023
- 2FA
- a
- toegang
- Account
- account overname
- accounts
- actoren
- toevoeging
- Extra
- Voordeel
- voorspraak
- tegen
- Alles
- toelaten
- ook
- midden
- an
- en
- Aankondiging
- iedereen
- api
- gebruiken
- nadering
- apps
- ZIJN
- rond
- At
- Aanvallen
- authenticatie
- vermijd
- terug
- slecht
- gebaseerde
- BE
- omdat
- beginnen
- wezen
- voordeel
- tussen
- Biljetten
- Blokken
- Blog
- Breken
- brengen
- browser
- bouw
- Gebouw
- maar
- by
- CAN
- ceo
- zeker
- zeker
- keten
- Mede-oprichter
- code
- gecodeerde
- komt
- Gemeen
- algemeen
- Bedrijven
- componenten
- uitgebreid
- compromis
- Aangetast
- afbreuk te doen aan
- inhoud
- permanent
- cookies
- kon
- Geloofsbrieven
- kritisch
- cybercriminelen
- gevaarlijk
- Dave
- beslissen
- Afhankelijk
- inzet
- Opsporing
- Ontwikkelaar
- ontwikkelaars
- apparaat
- richting
- Director
- Django
- do
- don
- donald
- beneden
- Vroeg
- gemakkelijk
- inspanning
- inspanningen
- beide
- in staat stellen
- aangemoedigd
- einde
- handhaving
- engagement
- genoeg
- omgevingen
- Ether (ETH)
- voorbeeld
- bestaand
- uitgelegd
- Verklaart
- exploitatie
- extra
- ver
- Kenmerk
- Voor
- Voormalig
- vroeger
- oppompen van
- functionaliteit
- krijgen
- GitHub
- Go
- groot
- Hardware
- hardware apparaat
- Hebben
- he
- hulp
- hoger
- haken
- hoopt
- Hosting
- Huis
- HTTPS
- reusachtig
- jacht
- uitvoeren
- in
- Anders
- omvatten
- Inclusief
- index
- infectie
- eerste
- installeren
- installeren
- Intelligentie
- bestemde
- in
- betrekken
- IT
- jpg
- arbeid
- taal
- Talen
- Legkippen
- rechtmatig
- minder
- niveaus
- Hefboomwerking
- Bibliotheek
- Life
- als
- Waarschijnlijk
- op zoek
- lot
- groot
- maken
- malware
- veel
- materieel
- Mei..
- MFA
- fout
- Modern
- meer
- meest
- gemotiveerde
- beweging
- veel
- meervoudig
- naamgeving
- Noodzaak
- nodig
- geen
- Opmerkingen
- nu
- of
- aanbod
- Aanbod
- officieel
- on
- eens
- EEN
- open
- open source
- Keuze
- or
- organisatie
- organisaties
- Overige
- uit
- totaal
- het te bezitten.
- pakket
- Paketten
- bijzonder
- Spil
- Plato
- Plato gegevensintelligentie
- PlatoData
- punt
- mogelijk
- mogelijk
- president
- voorkomen
- Programming
- programmeertalen
- Programma's
- project
- projecten
- trekken
- Duwen
- Python
- vraag
- Contact
- werkelijk
- onlangs
- recycling
- verwijderd
- bewaarplaats
- reputatie
- vereisen
- Voorwaarden
- onderzoekers
- rechts
- lopen
- s
- veiliger
- Zei
- ervaren
- zegt
- scenario's
- veiligheid
- beveiligingstoken
- gezien
- selecteren
- Sessie
- sessies
- ze
- teken
- Zilver
- sinds
- website
- Software
- bron
- broncode
- Stap voor
- Stappen
- Still
- stop
- dergelijk
- leveren
- toeleveringsketen
- Oppervlak
- Stap over voor slechts
- tactiek
- Nemen
- overnemen
- het nemen
- dat
- De
- hun
- Ze
- harte
- Er.
- Deze
- dit
- die
- bedreiging
- bedreigingsactoren
- bedreigingsintelligentie
- naar
- teken
- tokens
- tools
- moeite
- vertrouwde
- onbekend
- bruikbaar
- Gebruik
- .
- gebruikt
- Gebruiker
- gebruikers
- gebruik
- doorgaans
- divers
- Ve
- Tegen
- Vice President
- Manier..
- manieren
- we
- Wat
- wanneer
- welke
- en
- Waarom
- wijd
- wil
- Met
- woorden
- Mijn werk
- waard
- zou
- jaar
- zephyrnet