Официальный репозиторий с открытым исходным кодом для языка программирования Python, Python Package Index (PyPI), потребует, чтобы все учетные записи пользователей включали двухфакторную аутентификацию (2FA) к концу 2023 года.
Этот шаг в области безопасности может помочь предотвратить взлом учетных записей сопровождающих и внедрение вредоносного кода в существующие законные проекты со стороны киберзлоумышленников, но это не панацея, когда речь идет об усилении общей безопасности цепочки поставок программного обеспечения, предупреждают исследователи.
«До конца года PyPI начнет предоставлять доступ к определенным функциям сайта на основе использования 2FA», — объяснил администратор и сопровождающий PyPI Дональд Стаффт в своем сообщении. недавнее сообщение в блоге. «Кроме того, мы можем начать выбирать определенных пользователей или проекты для раннего применения».
Для реализации 2FA у сопровождающих пакетов есть возможность использовать токен безопасности или другое аппаратное устройство или приложение для аутентификации; и Стаффт сказал, что пользователям рекомендуется переключиться на использование либо Доверенные издатели PyPI функции или токены API для загрузки кода в PyPI.
Противодействие активности вредоносных пакетов PyPI
Объявление было сделано на фоне множества атак киберпреступников, стремящихся внедрить вредоносные программы в различные программы и приложения, которые затем могут широко распространяться. Поскольку PyPI и другие репозитории, такие как npm и GitHub содержат строительные блоки, которые разработчики используют для создания этих предложений, компрометация их содержимого — отличный способ сделать это.
Исследователи говорят, что 2FA, в частности (который GitHub также недавно реализовал) поможет предотвратить захват учетной записи разработчика, что является одним из способов, которым злоумышленники получают доступ к приложениям.
«Мы видели запущены фишинговые атаки против сопровождающих проекта часто используемых пакетов PyPI, которые предназначены для компрометации этих учетных записей», — говорит Эшли Бендж, директор по защите информации об угрозах в ReversingLabs. «После компрометации эти учетные записи можно легко использовать для распространения вредоносного кода в рассматриваемый проект PyPI. ."
Одним из наиболее вероятных сценариев первоначального заражения может быть случайная установка вредоносного пакета разработчиком, например, ввод команды Python по ошибке, говорит Дэйв Трумэн, вице-президент по киберрискам в Kroll.
«Многие вредоносные пакеты содержат функции кражи учетных данных или файлов cookie сеанса браузера и запрограммированы для запуска на устанавливаемом вредоносном пакете», — объясняет он. «На этом этапе вредоносное ПО украдет их учетные данные и сеансы, которые могут включать в себя логины, используемые с PyPI. Другими словами… один разработчик может позволить злоумышленнику перейти к крупная атака на цепочку поставок в зависимости от того, к чему у этого разработчика есть доступ — 2FA на PyPI поможет помешать злоумышленнику воспользоваться [этим]».
Дополнительная работа по обеспечению безопасности цепочки поставок программного обеспечения
Бенге из ReversingLabs отмечает, что, хотя требования PyPI к 2FA являются шагом в правильном направлении, необходимы дополнительные уровни безопасности, чтобы действительно заблокировать цепочку поставок программного обеспечения. Это связано с тем, что одним из наиболее распространенных способов использования киберпреступниками репозиториев программного обеспечения является загрузка собственных вредоносных пакетов в надежде обмануть разработчиков, заставив их втянуть их в свое программное обеспечение.
В конце концов, любой может зарегистрировать учетную запись PyPI, не задавая вопросов.
Эти усилия обычно включают в себя обыденные тактики социальной инженерии, говорит она: "Опечатка распространена — например, называя пакет «djanga» (содержащий вредоносный код) вместо «django» (законная и широко используемая библиотека)».
Другая тактика — охота за заброшенными проектами, чтобы вернуть их к жизни. «Раньше безобидный проект заброшен, удален, а затем перепрофилирован для размещения вредоносного ПО. как с termcolor», — объясняет она. Такой подход к переработке дает злоумышленникам возможность использовать законную репутацию бывшего проекта для привлечения разработчиков.
«Противники постоянно находят множество способов заставить разработчиков использовать вредоносные пакеты, поэтому для Python и других языков программирования с репозиториями программного обеспечения, таких как PyPi, крайне важно иметь комплексный подход к безопасности цепочки поставок программного обеспечения», — говорит Джавед Хасан, генеральный директор и соучредитель Lineaje.
Кроме того, есть несколько способов победить 2FA, отмечает Бенге, в том числе Замена SIM-карты, использование OIDC и перехват сеанса. Хотя это, как правило, трудоемко, мотивированные злоумышленники все равно будут пытаться обойти MFA и, конечно же, 2FA, говорит она.
«Подобные атаки требуют гораздо более высокого уровня участия злоумышленников и множества дополнительных шагов, которые будут сдерживать менее мотивированных участников угроз, но компрометация цепочки поставок организации предлагает потенциально огромную выгоду для злоумышленников, и многие могут решить, что дополнительные усилия того стоят». " она говорит.
В то время как репозитории предпринимают шаги, чтобы сделать свою среду более безопасной, организации и разработчики должны принимать собственные меры предосторожности, советует Хасан.
«Организации нуждаются в современных инструментах обнаружения несанкционированного доступа в цепочке поставок, которые помогут компаниям разобраться в том, что находится в их программном обеспечении, и избежать внедрения неизвестных и опасных компонентов», — говорит он. Кроме того, такие усилия, как спецификации программного обеспечения (SBOM) и управление поверхностью атаки может помочь.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- ПлатонАйСтрим. Анализ данных Web3. Расширение знаний. Доступ здесь.
- Чеканка будущего с Эдриенн Эшли. Доступ здесь.
- Покупайте и продавайте акции компаний PREIPO® с помощью PREIPO®. Доступ здесь.
- Источник: https://www.darkreading.com/application-security/pypi-2fa-requirements-dont-go-far-enough
- :имеет
- :является
- :нет
- $UP
- 2023
- 2FA
- a
- доступ
- Учетная запись
- захват аккаунта
- Учетные записи
- актеры
- дополнение
- дополнительный
- плюс
- пропаганда
- против
- Все
- позволять
- Также
- среди
- an
- и
- Объявление
- кто угодно
- API
- приложение
- подхода
- Программы
- МЫ
- около
- At
- нападки
- Аутентификация
- избежать
- назад
- Плохой
- основанный
- BE
- , так как:
- начинать
- не являетесь
- польза
- между
- Банкноты
- Блоки
- Блог
- Ломать
- приносить
- браузер
- строить
- Строительство
- но
- by
- CAN
- Генеральный директор
- определенный
- конечно
- цепь
- Соучредитель
- код
- закодированы
- выходит
- Общий
- обычно
- Компании
- компоненты
- комплексный
- скомпрометированы
- Ослабленный
- компромат
- содержание
- беспрестанно
- печенье
- может
- Полномочия
- критической
- киберпреступники
- опасно
- Дейв
- решать
- в зависимости
- развертывание
- обнаружение
- Застройщик
- застройщиков
- устройство
- направление
- директор
- Django
- do
- Дон
- Дональд
- вниз
- Рано
- легко
- усилие
- усилия
- или
- включить
- поощрять
- конец
- принуждение
- обязательство
- достаточно
- средах
- Эфир (ETH)
- пример
- существующий
- объяснены
- Объясняет
- эксплуатация
- дополнительно
- далеко
- Особенность
- Что касается
- Бывший
- раньше
- от
- функциональность
- получить
- GitHub
- Go
- большой
- Аппаратные средства
- аппаратное устройство
- Есть
- he
- помощь
- высший
- Крючки
- надеется,
- хостинг
- Вилла / Бунгало
- HTTPS
- огромный
- Охота
- осуществлять
- in
- В других
- включают
- В том числе
- индекс
- инфекция
- начальный
- устанавливать
- Установка
- Интеллекта
- предназначенных
- в
- включать в себя
- IT
- JPG
- труд
- язык
- Языки
- слоев
- законный
- Меньше
- уровни
- Кредитное плечо
- Библиотека
- ЖИЗНЬЮ
- такое как
- Вероятно
- искать
- серия
- основной
- сделать
- вредоносных программ
- многих
- материалы
- Май..
- МИД
- ошибка
- Модерн
- БОЛЕЕ
- самых
- мотивированные
- двигаться
- много
- с разными
- именования
- Необходимость
- необходимый
- нет
- Заметки
- сейчас
- of
- Предложения
- Предложения
- Официальный представитель в Грузии
- on
- консолидировать
- ONE
- открытый
- с открытым исходным кодом
- Опция
- or
- организация
- организации
- Другие контрактные услуги
- внешний
- общий
- собственный
- пакет
- пакеты
- особый
- Стержень
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- Точка
- возможно
- потенциально
- президент
- предотвращать
- Программирование
- языки программирования
- Программы
- Проект
- проектов
- тянущий
- Push
- Питон
- вопрос
- Вопросы
- на самом деле
- недавно
- утилизации
- удален
- хранилище
- репутация
- требовать
- Требования
- исследователи
- правую
- Run
- s
- безопаснее
- Сказал
- сообщили
- говорит
- Сценарии
- безопасность
- маркер безопасности
- видел
- выбор
- Сессия
- сессиях
- она
- подпись
- Серебро
- с
- сайте
- Software
- Источник
- исходный код
- Шаг
- Шаги
- По-прежнему
- Stop
- такие
- поставка
- цепочками поставок
- Поверхность
- Коммутатор
- тактика
- взять
- поглощение
- с
- который
- Ассоциация
- их
- Их
- тогда
- Там.
- Эти
- этой
- те
- угроза
- актеры угрозы
- разведка угроз
- в
- знак
- Лексемы
- инструменты
- беда
- надежных
- неизвестный
- годный к употреблению
- Применение
- использование
- используемый
- Информация о пользователе
- пользователей
- через
- обычно
- различный
- Ve
- Против
- вице-президент
- Путь..
- способы
- we
- Что
- когда
- который
- в то время как
- зачем
- широко
- будете
- слова
- Работа
- стоимость
- бы
- год
- зефирнет