Det offisielle åpne kildekodelageret for Python-programmeringsspråket, Python Package Index (PyPI), vil kreve at alle brukerkontoer aktiverer tofaktorautentisering (2FA) innen utgangen av 2023.
Sikkerhetstrekket kan bidra til å forhindre at nettangripere kompromitterer vedlikeholderkontoer og injiserer ondsinnet kode i eksisterende legitime prosjekter, men det er ikke en sølvkule når det gjelder å styrke den generelle sikkerheten i programvareforsyningskjeden, advarer forskere.
"Mellom nå og slutten av året vil PyPI begynne å gi tilgang til visse nettstedsfunksjoner basert på 2FA-bruk," forklarte PyPI-administrator og vedlikeholder Donald Stufft, i en siste blogginnlegg. "I tillegg kan vi begynne å velge enkelte brukere eller prosjekter for tidlig håndheving."
For å implementere 2FA har pakkevedlikeholdere muligheten til å bruke et sikkerhetstoken eller annen maskinvareenhet, eller en autentiseringsapp; og Stufft sa at brukere oppfordres til å bytte til å bruke enten PyPIs pålitelige utgivere funksjon eller API-tokens for å laste opp kode til PyPI.
Stemming PyPIs ondsinnede pakkeaktivitet
Kunngjøringen kommer midt i en rekke angrep fra nettkriminelle som ønsker å infiltrere ulike programmer og apper med skadelig programvare som deretter kan fortsette å bli bredt spredt. Siden PyPI og andre depoter som npm og GitHub huser byggeklossene som utviklere bruker for å bygge disse tilbudene, å kompromittere innholdet deres er en fin måte å gjøre det på.
Forskere sier at spesielt 2FA (som GitHub er også nylig implementert) vil bidra til å forhindre overtakelse av utviklerkontoer, som er en måte som dårlige skuespillere kan få tak i apper.
"Vi har sett phishing-angrep startet mot prosjektvedlikeholderne for ofte brukte PyPI-pakker som er ment å kompromittere disse kontoene," sier Ashlee Benge, direktør for trusseletterretning ved ReversingLabs. "Når de er kompromittert, kan disse kontoene enkelt brukes til å sende ondsinnet kode til det aktuelle PyPI-prosjektet. ."
Et av de mest sannsynlige scenariene for innledende infeksjon vil være en utvikler som ved et uhell installerer en ondsinnet pakke, for eksempel ved å skrive inn en Python-installasjonskommando ved en feiltakelse, sier Dave Truman, visepresident for cyber-risk hos Kroll.
"Mange av de ondsinnede pakkene inneholder funksjonalitet for å stjele legitimasjon eller nettleserøktinformasjonskapsler og er kodet for å kjøre på den skadelige pakken som installeres," forklarer han. "På dette tidspunktet ville skadevaren stjele deres legitimasjon og økter som muligens kan inkludere pålogginger som kan brukes med PyPI. Med andre ord … en utvikler kan tillate skuespilleren å pivotere til et stort forsyningskjedeangrep avhengig av hva den utvikleren har tilgang til - 2FA på PyPI vil hjelpe til med å stoppe skuespilleren fra å dra nytte av [det]."
Mer programvareforsyningskjedesikkerhet som må gjøres
ReversingLabs' Benge bemerker at selv om PyPIs 2FA-krav er et skritt i riktig retning, trengs flere sikkerhetslag for å virkelig låse programvareforsyningskjeden. Det er fordi en av de vanligste måtene nettkriminelle utnytter programvarelager er ved laster opp sine egne ondsinnede pakker i håp om å lure utviklere til å trekke dem inn i programvaren deres.
Tross alt kan hvem som helst registrere seg for en PyPI-konto, uten spørsmål.
Disse anstrengelsene involverer vanligvis verdslige sosialtekniske taktikker, sier hun: "Typosquatting er vanlig – for eksempel å navngi en pakke 'djanga' (som inneholder ondsinnet kode) versus 'django' (det legitime og ofte brukte biblioteket)."
En annen taktikk er å jakte på forlatte prosjekter for å få livet tilbake. "Et tidligere godartet prosjekt blir forlatt, fjernet og deretter gjenbrukt for å være vert for skadelig programvare, som med termfarge," forklarer hun. Denne resirkuleringstilnærmingen gir ondsinnede aktører fordelen av å bruke det tidligere prosjektets legitime rykte for å lokke inn utviklere.
"Motstandere finner hele tiden ut flere måter å gjøre det på få utviklere til å bruke ondsinnede pakker, og det er derfor det er avgjørende for Python og andre programmeringsspråk med programvarelager som PyPi å ha en omfattende programvareforsyningskjedetilnærming til sikkerhet," sier Javed Hasan, administrerende direktør og medgründer, Lineaje.
Det er også flere måter å beseire 2FA, bemerker Benge, inkludert SIM-bytte, OIDC-utnytting og øktkapring. Selv om disse har en tendens til å være arbeidskrevende, vil motiverte angripere fortsatt gjøre bryet med å prøve å omgå MFA og absolutt 2FA, sier hun.
«Slike angrep krever mye høyere engasjement fra angripere og mange ekstra skritt som vil avskrekke mindre motiverte trusselaktører, men å kompromittere en organisasjons forsyningskjede gir en potensielt stor gevinst for trusselaktører, og mange kan bestemme at den ekstra innsatsen er verdt det. " hun sier.
Mens depoter tar skritt for å gjøre miljøene tryggere, må organisasjoner og utviklere ta sine egne forholdsregler, råder Hasan.
"Organisasjoner trenger moderne verktøy for manipulering av forsyningskjeden som hjelper bedrifter å bryte ned det som er i programvaren deres og unngå distribusjon av ukjente og farlige komponenter," sier han. Også innsats som programvarelister (SBOM) og angripe overflatebehandling kan hjelpe.
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoAiStream. Web3 Data Intelligence. Kunnskap forsterket. Tilgang her.
- Minting the Future med Adryenn Ashley. Tilgang her.
- Kjøp og selg aksjer i PRE-IPO-selskaper med PREIPO®. Tilgang her.
- kilde: https://www.darkreading.com/application-security/pypi-2fa-requirements-dont-go-far-enough
- : har
- :er
- :ikke
- $OPP
- 2023
- 2FA
- a
- adgang
- Logg inn
- kontoovertakelse
- kontoer
- aktører
- tillegg
- Ytterligere
- Fordel
- advocacy
- mot
- Alle
- tillate
- også
- blant
- an
- og
- Kunngjøring
- noen
- api
- app
- tilnærming
- apps
- ER
- rundt
- At
- Angrep
- Autentisering
- unngå
- tilbake
- dårlig
- basert
- BE
- fordi
- begynne
- være
- nytte
- mellom
- Sedler
- Blocks
- Blogg
- Break
- bringe
- nett~~POS=TRUNC leseren~~POS=HEADCOMP
- bygge
- Bygning
- men
- by
- CAN
- konsernsjef
- viss
- Gjerne
- kjede
- Med-grunnlegger
- kode
- kodet
- kommer
- Felles
- vanligvis
- Selskaper
- komponenter
- omfattende
- kompromiss
- kompromittert
- kompromittere
- innhold
- kontinuerlig
- cookies
- kunne
- Credentials
- kritisk
- nettkriminelle
- Dangerous
- Dave
- bestemme
- avhengig
- distribusjon
- Gjenkjenning
- Utvikler
- utviklere
- enhet
- retning
- Regissør
- Django
- do
- Don
- Donald
- ned
- Tidlig
- lett
- innsats
- innsats
- enten
- muliggjøre
- oppfordret
- slutt
- håndhevelse
- engasjement
- nok
- miljøer
- Eter (ETH)
- eksempel
- eksisterende
- forklarte
- forklarer
- utnytting
- ekstra
- langt
- Trekk
- Til
- Tidligere
- tidligere
- fra
- funksjonalitet
- få
- GitHub
- Go
- flott
- maskinvare
- maskinvareenhet
- Ha
- he
- hjelpe
- høyere
- kroker
- håper
- Hosting
- hus
- HTTPS
- stort
- jakten
- iverksette
- in
- I andre
- inkludere
- Inkludert
- indeks
- infeksjon
- innledende
- installere
- installere
- Intelligens
- tiltenkt
- inn
- involvere
- IT
- jpg
- arbeidskraft
- Språk
- språk
- lag
- legitim
- mindre
- nivåer
- Leverage
- Bibliotek
- Life
- i likhet med
- Sannsynlig
- ser
- Lot
- større
- gjøre
- malware
- mange
- materialer
- Kan..
- MFA
- feil
- Moderne
- mer
- mest
- motivert
- flytte
- mye
- flere
- navngiving
- Trenger
- nødvendig
- Nei.
- Merknader
- nå
- of
- tilbud
- Tilbud
- offisiell
- on
- gang
- ONE
- åpen
- åpen kildekode
- Alternativ
- or
- organisasjon
- organisasjoner
- Annen
- ut
- samlet
- egen
- pakke
- pakker
- Spesielt
- Pivot
- plato
- Platon Data Intelligence
- PlatonData
- Point
- muligens
- potensielt
- president
- forebygge
- Programmering
- programmerings språk
- programmer
- prosjekt
- prosjekter
- trekke
- Skyv
- Python
- spørsmål
- spørsmål
- virkelig
- nylig
- gjenvinning
- fjernet
- Repository
- omdømme
- krever
- Krav
- forskere
- ikke sant
- Kjør
- s
- sikrere
- Sa
- sier
- sier
- scenarier
- sikkerhet
- sikkerhetstegn
- sett
- velge
- Session
- sesjoner
- hun
- undertegne
- Sølv
- siden
- nettstedet
- Software
- kilde
- kildekoden
- Trinn
- Steps
- Still
- Stopp
- slik
- levere
- forsyningskjeden
- overflaten
- Bytte om
- taktikk
- Ta
- overtakelse
- ta
- Det
- De
- deres
- Dem
- deretter
- Der.
- Disse
- denne
- De
- trussel
- trusselaktører
- trussel etterretning
- til
- token
- tokens
- verktøy
- problemer
- klarert
- ukjent
- bruk
- bruk
- bruke
- brukt
- Bruker
- Brukere
- ved hjelp av
- vanligvis
- ulike
- Ve
- Versus
- Vice President
- Vei..
- måter
- we
- Hva
- når
- hvilken
- mens
- hvorfor
- allment
- vil
- med
- ord
- Arbeid
- verdt
- ville
- år
- zephyrnet