O repositório oficial de código-fonte aberto para a linguagem de programação Python, o Python Package Index (PyPI), exigirá que todas as contas de usuário habilitem a autenticação de dois fatores (2FA) até o final de 2023.
The security move may help prevent cyberattackers from compromising maintainer accounts and injecting malicious code into existing legitimate projects, but it's not a silver bullet when it comes to shoring up overall software supply chain security, researchers warn.
"Between now and the end of the year, PyPI will begin gating access to certain site functionality based on 2FA usage," explained PyPI administrator and maintainer Donald Stufft, in a postagem recente no blog. "In addition, we may begin selecting certain users or projects for early enforcement."
Para implementar o 2FA, os mantenedores do pacote têm a opção de usar um token de segurança ou outro dispositivo de hardware ou um aplicativo de autenticação; e Stufft disse que os usuários são encorajados a mudar para usar PyPI's Trusted Publishers recurso ou tokens de API para fazer upload de código para PyPI.
Stemming PyPI's Malicious Package Activity
O anúncio ocorre em meio a uma série de ataques de cibercriminosos que procuram se infiltrar em vários programas de software e aplicativos com malware que pode ser amplamente disseminado. Desde PyPI e outros repositórios como npm e GitHub abrigam os blocos de construção que os desenvolvedores usam para criar essas ofertas, comprometer seu conteúdo é uma ótima maneira de fazer isso.
Pesquisadores dizem que 2FA em particular (que O GitHub também implementou recentemente) ajudará a impedir o controle da conta do desenvolvedor, que é uma maneira de os mal-intencionados colocarem seus ganchos nos aplicativos.
"Nós vimos ataques de phishing lançados against the project maintainers for commonly used PyPI packages that are intended to compromise those accounts," says Ashlee Benge, director of threat intelligence advocacy at ReversingLabs. "Once compromised, those accounts can easily be used to push malicious code to the PyPI project in question."
Um dos cenários mais prováveis de infecção inicial seria um desenvolvedor instalando acidentalmente um pacote malicioso, por exemplo, digitando um comando de instalação do Python por engano, diz Dave Truman, vice-presidente de risco cibernético da Kroll.
"A lot of the malicious packages contain functionality for stealing credentials or browser session cookies and are coded to run on the malicious package being installed," he explains. "At this point, the malware would steal their credentials and sessions which could possibly include logins usable with PyPI. In other words … one developer could allow the actor to pivot to um grande ataque à cadeia de suprimentos depending on what that developer has access to — 2FA on PyPI would help stop the actor taking advantage of [that]."
Mais trabalho de segurança da cadeia de suprimentos de software a fazer
ReversingLabs' Benge notes that while PyPI's 2FA requirements are a step in the right direction, more security layers are needed to really lock down the software supply chain. That's because one of the most common ways that cybercriminals leverage software repositories is by carregando seus próprios pacotes maliciosos na esperança de enganar os desenvolvedores para atraí-los para seu software.
Afinal, qualquer pessoa pode se inscrever em uma conta PyPI, sem fazer perguntas.
These efforts usually involve mundane social-engineering tactics, she says: "Typosquatting é comum — for example, naming a package 'djanga' (containing malicious code) versus 'django' (the legitimate and commonly used library)."
Another tactic is to hunt for abandoned projects to bring back to life. "A formerly benign project is abandoned, removed, and then repurposed for hosting malware, como com termocor," she explains. This recycling approach offers malicious actors the benefit of using the former project's legitimate reputation to lure in developers.
"Adversaries are continually figuring out multiple ways to fazer com que os desenvolvedores usem pacotes maliciosos, which is why it's critical for Python and other programming languages with software repositories like PyPi to have a comprehensive software supply chain approach to security," says Javed Hasan, CEO and co-founder, Lineaje.
Além disso, existem várias maneiras de derrotar o 2FA, observa Benge, incluindo Troca de SIM, exploração OIDC e sequestro de sessão. Embora estes tendam a ser trabalhosos, os invasores motivados ainda se darão ao trabalho de tentar contornar o MFA e certamente o 2FA, diz ela.
"Such attacks require much higher levels of engagement by attackers and many additional steps that will deter less motivated threat actors, but compromising an organization's supply chain offers a potentially huge payoff for threat actors, and many may decide that the extra effort is worth it," she says.
Enquanto os repositórios tomam medidas para tornar seus ambientes mais seguros, organizações e desenvolvedores precisam tomar suas próprias precauções, aconselha Hasan.
"Organizations need modern supply chain tamper detection tools that help companies break down what's in their software and avoid deployment of unknown and dangerous components," he says. Also, efforts like listas de materiais de software (SBOMs) e gerenciamento de superfície de ataque podem ajudar.
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- PlatoAiStream. Inteligência de Dados Web3. Conhecimento Amplificado. Acesse aqui.
- Cunhando o Futuro com Adryenn Ashley. Acesse aqui.
- Compre e venda ações em empresas PRE-IPO com PREIPO®. Acesse aqui.
- Fonte: https://www.darkreading.com/application-security/pypi-2fa-requirements-dont-go-far-enough
- :tem
- :é
- :não
- $UP
- 2023
- 2FA
- a
- Acesso
- Conta
- aquisição da conta
- Contas
- atores
- Adição
- Adicional
- Vantagem
- advocacia
- contra
- Todos os Produtos
- permitir
- tb
- entre
- an
- e
- Anúncio
- qualquer um
- api
- app
- abordagem
- Aplicativos
- SOMOS
- por aí
- At
- Ataques
- Autenticação
- evitar
- em caminho duplo
- Mau
- baseado
- BE
- Porque
- começar
- ser
- beneficiar
- entre
- Contas inclusas
- Blocos
- BLOG
- Break
- trazer
- navegador
- construir
- Prédio
- mas a
- by
- CAN
- Chefe executivo
- certo
- certamente
- cadeia
- Co-fundador
- código
- codificado
- vem
- comum
- geralmente
- Empresas
- componentes
- compreensivo
- compromisso
- Comprometido
- comprometendo
- conteúdo
- continuamente
- bolinhos
- poderia
- Credenciais
- crítico
- cibercriminosos
- Perigoso
- Dave
- decidir
- Dependendo
- desenvolvimento
- Detecção
- Developer
- desenvolvedores
- dispositivo
- direção
- Diretor
- Django
- do
- don
- donald
- down
- Cedo
- facilmente
- esforço
- esforços
- ou
- permitir
- encorajados
- final
- aplicação
- COMPROMETIMENTO
- suficiente
- ambientes
- Éter (ETH)
- exemplo
- existente
- explicado
- Explica
- exploração
- extra
- longe
- Característica
- Escolha
- Antigo
- Antigamente
- da
- funcionalidade
- ter
- GitHub
- Go
- ótimo
- Hardware
- dispositivo de hardware
- Ter
- he
- ajudar
- superior
- Hooks
- espera
- hospedagem
- House
- HTTPS
- enorme
- caça
- executar
- in
- Em outra
- incluir
- Incluindo
- índice
- infection
- do estado inicial,
- instalar
- instalando
- Inteligência
- Pretendido
- para dentro
- envolver
- IT
- jpg
- trabalho
- língua
- Idiomas
- camadas
- legítimo
- menos
- níveis
- Alavancagem
- Biblioteca
- vida
- como
- Provável
- procurando
- lote
- principal
- fazer
- malwares
- muitos
- materiais
- Posso..
- MFA
- erro
- EQUIPAMENTOS
- mais
- a maioria
- motivados
- mover
- muito
- múltiplo
- nomeando
- você merece...
- necessário
- não
- Notas
- agora
- of
- Ofertas
- Oferece
- oficial
- on
- uma vez
- ONE
- aberto
- open source
- Opção
- or
- organização
- organizações
- Outros
- Fora
- global
- próprio
- pacote
- pacotes
- particular
- articulação
- platão
- Inteligência de Dados Platão
- PlatãoData
- ponto
- possivelmente
- potencialmente
- presidente
- evitar
- Programação
- linguagens de programação
- Programas
- projeto
- projetos
- puxando
- Empurrar
- Python
- questão
- Frequentes
- clientes
- recentemente
- reciclagem
- Removido
- repositório
- reputação
- requerer
- Requisitos
- pesquisadores
- certo
- Execute
- s
- mais segura
- Dito
- dizer
- diz
- cenários
- segurança
- token de segurança
- visto
- selecionando
- Sessão
- sessões
- ela
- assinar
- Prata
- desde
- local
- Software
- fonte
- código fonte
- Passo
- Passos
- Ainda
- Dê um basta
- tal
- supply
- cadeia de suprimentos
- superfície
- Interruptor
- tática
- Tire
- assumir o controle
- tomar
- que
- A
- deles
- Eles
- então
- Lá.
- Este
- isto
- aqueles
- ameaça
- atores de ameaças
- inteligência de ameaças
- para
- token
- Tokens
- ferramentas
- problema
- confiável
- desconhecido
- utilizável
- Uso
- usar
- usava
- Utilizador
- usuários
- utilização
- geralmente
- vário
- Ve
- Contra
- Vice-Presidente
- Caminho..
- maneiras
- we
- O Quê
- quando
- qual
- enquanto
- porque
- largamente
- precisarão
- com
- palavras
- Atividades:
- Equivalente há
- seria
- ano
- zefirnet