Depozitul oficial de cod sursă deschis pentru limbajul de programare Python, Python Package Index (PyPI), va solicita tuturor conturilor de utilizator să activeze autentificarea cu doi factori (2FA) până la sfârșitul anului 2023.
The security move may help prevent cyberattackers from compromising maintainer accounts and injecting malicious code into existing legitimate projects, but it's not a silver bullet when it comes to shoring up overall software supply chain security, researchers warn.
"Between now and the end of the year, PyPI will begin gating access to certain site functionality based on 2FA usage," explained PyPI administrator and maintainer Donald Stufft, in a postare recentă pe blog. "In addition, we may begin selecting certain users or projects for early enforcement."
Pentru a implementa 2FA, întreținerii pachetelor au opțiunea de a utiliza un token de securitate sau alt dispozitiv hardware sau o aplicație de autentificare; și Stufft a spus că utilizatorii sunt încurajați să treacă la utilizarea fiecăreia PyPI's Trusted Publishers caracteristică sau jetoane API pentru a încărca codul în PyPI.
Stemming PyPI's Malicious Package Activity
Anunțul vine în mijlocul unei sume de atacuri ale infractorilor cibernetici care caută să se infiltreze în diferite programe software și aplicații cu programe malware care pot fi apoi răspândite pe scară largă. Din moment ce PyPI și alte depozite precum npm și GitHub găzduiește elementele de bază pe care dezvoltatorii le folosesc pentru a construi aceste oferte, compromiterea conținutului acestora este o modalitate excelentă de a face acest lucru.
Cercetătorii spun că 2FA în special (care GitHub a fost implementat recent) va ajuta la prevenirea preluarii contului de dezvoltator, care este una dintre modalitățile prin care actorii răi își introduc cârligele în aplicații.
"We've seen atacuri de phishing lansate against the project maintainers for commonly used PyPI packages that are intended to compromise those accounts," says Ashlee Benge, director of threat intelligence advocacy at ReversingLabs. "Once compromised, those accounts can easily be used to push malicious code to the PyPI project in question."
Unul dintre cele mai probabile scenarii de infecție inițială ar fi un dezvoltator care instalează accidental un pachet rău intenționat, de exemplu, tastând o comandă de instalare Python din greșeală, spune Dave Truman, vicepreședinte pentru risc cibernetic la Kroll.
"A lot of the malicious packages contain functionality for stealing credentials or browser session cookies and are coded to run on the malicious package being installed," he explains. "At this point, the malware would steal their credentials and sessions which could possibly include logins usable with PyPI. In other words … one developer could allow the actor to pivot to un atac major al lanțului de aprovizionare depending on what that developer has access to — 2FA on PyPI would help stop the actor taking advantage of [that]."
Mai multe lucruri de făcut pentru securitatea lanțului de aprovizionare cu software
ReversingLabs' Benge notes that while PyPI's 2FA requirements are a step in the right direction, more security layers are needed to really lock down the software supply chain. That's because one of the most common ways that cybercriminals leverage software repositories is by încărcându-și propriile pachete rău intenționate în speranța de a înșela dezvoltatorii să-i atragă în software-ul lor.
La urma urmei, oricine se poate înscrie pentru un cont PyPI, fără întrebări.
These efforts usually involve mundane social-engineering tactics, she says: "Typosquatting este frecventă — for example, naming a package 'djanga' (containing malicious code) versus 'django' (the legitimate and commonly used library)."
Another tactic is to hunt for abandoned projects to bring back to life. "A formerly benign project is abandoned, removed, and then repurposed for hosting malware, ca și cu termcolour," she explains. This recycling approach offers malicious actors the benefit of using the former project's legitimate reputation to lure in developers.
"Adversaries are continually figuring out multiple ways to determinați dezvoltatorii să folosească pachete rău intenționate, which is why it's critical for Python and other programming languages with software repositories like PyPi to have a comprehensive software supply chain approach to security," says Javed Hasan, CEO and co-founder, Lineaje.
De asemenea, există mai multe moduri de a învinge 2FA, notează Benge, inclusiv Schimbarea SIM, exploatarea OIDC și deturnarea sesiunii. În timp ce acestea tind să consume multă muncă, atacatorii motivați își vor face totuși problema să încerce să rezolve MFA și cu siguranță 2FA, spune ea.
"Such attacks require much higher levels of engagement by attackers and many additional steps that will deter less motivated threat actors, but compromising an organization's supply chain offers a potentially huge payoff for threat actors, and many may decide that the extra effort is worth it," she says.
În timp ce depozitele iau măsuri pentru a-și face mediile mai sigure, organizațiile și dezvoltatorii trebuie să-și ia propriile măsuri de precauție, sfătuiește Hasan.
"Organizations need modern supply chain tamper detection tools that help companies break down what's in their software and avoid deployment of unknown and dangerous components," he says. Also, efforts like liste de materiale software (SBOM) și gestionarea suprafeței atacului poate ajuta.
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- PlatoAiStream. Web3 Data Intelligence. Cunoștințe amplificate. Accesați Aici.
- Mintând viitorul cu Adryenn Ashley. Accesați Aici.
- Cumpărați și vindeți acțiuni în companii PRE-IPO cu PREIPO®. Accesați Aici.
- Sursa: https://www.darkreading.com/application-security/pypi-2fa-requirements-dont-go-far-enough
- :are
- :este
- :nu
- $UP
- 2023
- 2FA
- a
- acces
- Cont
- preluarea contului
- Conturi
- actori
- plus
- Suplimentar
- Avantaj
- susţinere
- împotriva
- TOATE
- permite
- de asemenea
- în mijlocul
- an
- și
- Anunț
- oricine
- api
- aplicaţia
- abordare
- Apps
- SUNT
- în jurul
- At
- Atacuri
- Autentificare
- evita
- înapoi
- Rău
- bazat
- BE
- deoarece
- începe
- fiind
- beneficia
- între
- Bancnote
- Blocuri
- Blog
- Pauză
- aduce
- browser-ul
- construi
- Clădire
- dar
- by
- CAN
- CEO
- sigur
- cu siguranță
- lanţ
- Co-fondator
- cod
- cifrat
- vine
- Comun
- în mod obișnuit
- Companii
- componente
- cuprinzător
- compromis
- compromis
- compromisor
- conținut
- continuu
- fursecuri
- ar putea
- scrisori de acreditare
- critic
- cybercriminals
- Periculos
- Dave
- decide
- În funcție
- desfășurarea
- Detectare
- Dezvoltator
- Dezvoltatorii
- dispozitiv
- direcţie
- Director
- Django
- do
- don
- Donald
- jos
- Devreme
- cu ușurință
- efort
- Eforturile
- oricare
- permite
- incurajata
- capăt
- executare
- angajament
- suficient de
- medii
- Eter (ETH)
- exemplu
- existent
- a explicat
- explică
- exploatare
- suplimentar
- departe
- Caracteristică
- Pentru
- Fost
- anterior
- din
- funcționalitate
- obține
- GitHub
- Go
- mare
- Piese metalice
- dispozitiv hardware
- Avea
- he
- ajutor
- superior
- cârlige
- speranțe
- găzduire
- casă
- HTTPS
- mare
- vânătoare
- punerea în aplicare a
- in
- În altele
- include
- Inclusiv
- index
- infecţie
- inițială
- instala
- Instalarea
- Inteligență
- destinate
- în
- implica
- IT
- jpg
- muncă
- limbă
- Limbă
- straturi
- legitim
- mai puțin
- nivelurile de
- Pârghie
- Bibliotecă
- Viaţă
- ca
- Probabil
- cautati
- Lot
- major
- face
- malware
- multe
- Materiale
- Mai..
- AMF
- greşeală
- Modern
- mai mult
- cele mai multe
- motivat
- muta
- mult
- multiplu
- denumire
- Nevoie
- necesar
- Nu.
- notițe
- acum
- of
- ofertele
- promoții
- oficial
- on
- dată
- ONE
- deschide
- open-source
- Opțiune
- or
- organizație
- organizații
- Altele
- afară
- global
- propriu
- pachet
- ofertele
- special
- Pivot
- Plato
- Informații despre date Platon
- PlatoData
- Punct
- eventual
- potenţial
- preşedinte
- împiedica
- Programare
- limbaje de programare
- Programe
- proiect
- Proiecte
- trăgând
- Împinge
- Piton
- întrebare
- Întrebări
- într-adevăr
- recent
- reciclare
- îndepărtat
- depozit
- reputație
- necesita
- Cerinţe
- cercetători
- dreapta
- Alerga
- s
- mai sigur
- Said
- Spune
- spune
- scenarii
- securitate
- token de securitate
- văzut
- selectarea
- sesiune
- Sesiunile
- ea
- semna
- Silver
- întrucât
- teren
- Software
- Sursă
- cod sursă
- Pas
- paşi
- Încă
- Stop
- astfel de
- livra
- lanțului de aprovizionare
- Suprafață
- Intrerupator
- tactică
- Lua
- preluare
- luare
- acea
- lor
- Lor
- apoi
- Acolo.
- Acestea
- acest
- aceste
- amenințare
- actori amenințători
- inteligența amenințărilor
- la
- semn
- indicativele
- Unelte
- necaz
- de încredere
- necunoscut
- utilizabil
- Folosire
- utilizare
- utilizat
- Utilizator
- utilizatorii
- folosind
- obișnuit
- diverse
- Ve
- Impotriva
- Vicepreședinte
- Cale..
- modalități de
- we
- Ce
- cand
- care
- în timp ce
- de ce
- pe larg
- voi
- cu
- cuvinte
- Apartamente
- valoare
- ar
- an
- zephyrnet