Uradno skladišče odprtokodne kode za programski jezik Python, Python Package Index (PyPI), bo do konca leta 2 zahtevalo, da vsi uporabniški računi omogočijo dvofaktorsko avtentikacijo (2023FA).
The security move may help prevent cyberattackers from compromising maintainer accounts and injecting malicious code into existing legitimate projects, but it's not a silver bullet when it comes to shoring up overall software supply chain security, researchers warn.
"Between now and the end of the year, PyPI will begin gating access to certain site functionality based on 2FA usage," explained PyPI administrator and maintainer Donald Stufft, in a nedavna objava v blogu. "In addition, we may begin selecting certain users or projects for early enforcement."
Za implementacijo 2FA imajo vzdrževalci paketov možnost uporabe varnostnega žetona ali druge naprave strojne opreme ali aplikacije za preverjanje pristnosti; in Stufft je dejal, da se uporabnike spodbuja, da preidejo na uporabo enega ali drugega PyPI's Trusted Publishers funkcijo ali žetone API za nalaganje kode v PyPI.
Stemming PyPI's Malicious Package Activity
Obvestilo prihaja med množico napadov kibernetskih kriminalcev, ki se želijo infiltrirati v različne programske programe in aplikacije z zlonamerno programsko opremo, ki se nato lahko široko razširi. Ker PyPI in druga skladišča, kot je npm in GitHub vsebuje gradnike, ki jih razvijalci uporabljajo za gradnjo teh ponudb, ogrožanje njihove vsebine je odličen način za to.
Raziskovalci pravijo, da je zlasti 2FA (ki Pred kratkim implementiran tudi GitHub) bo pomagalo preprečiti prevzem računa razvijalca, kar je eden od načinov, kako se zlobni akterji vtaknejo v aplikacije.
"Smo videli napadi lažnega predstavljanja against the project maintainers for commonly used PyPI packages that are intended to compromise those accounts," says Ashlee Benge, director of threat intelligence advocacy at ReversingLabs. "Once compromised, those accounts can easily be used to push malicious code to the PyPI project in question."
Eden najverjetnejših scenarijev začetne okužbe bi bil razvijalec, ki pomotoma namesti zlonamerni paket, na primer pomotoma vnese ukaz za namestitev Pythona, pravi Dave Truman, podpredsednik za kibernetska tveganja pri Krollu.
"A lot of the malicious packages contain functionality for stealing credentials or browser session cookies and are coded to run on the malicious package being installed," he explains. "At this point, the malware would steal their credentials and sessions which could possibly include logins usable with PyPI. In other words … one developer could allow the actor to pivot to velik napad na dobavno verigo depending on what that developer has access to — 2FA on PyPI would help stop the actor taking advantage of [that]."
Še več dela na področju varnosti dobavne verige programske opreme
ReversingLabs' Benge notes that while PyPI's 2FA requirements are a step in the right direction, more security layers are needed to really lock down the software supply chain. That's because one of the most common ways that cybercriminals leverage software repositories is by nalaganje lastnih zlonamernih paketov v upanju, da bi preslepil razvijalce, da bi jih potegnili v svojo programsko opremo.
Navsezadnje se lahko vsak prijavi za račun PyPI, brez vprašanj.
These efforts usually involve mundane social-engineering tactics, she says: "Tiposquatting je pogost — for example, naming a package 'djanga' (containing malicious code) versus 'django' (the legitimate and commonly used library)."
Another tactic is to hunt for abandoned projects to bring back to life. "A formerly benign project is abandoned, removed, and then repurposed for hosting malware, kot pri termcolour," she explains. This recycling approach offers malicious actors the benefit of using the former project's legitimate reputation to lure in developers.
"Adversaries are continually figuring out multiple ways to pripraviti razvijalce do uporabe zlonamernih paketov, which is why it's critical for Python and other programming languages with software repositories like PyPi to have a comprehensive software supply chain approach to security," says Javed Hasan, CEO and co-founder, Lineaje.
Poleg tega obstaja več načinov za premagovanje 2FA, ugotavlja Benge Zamenjava SIM, izkoriščanje OIDC in ugrabitev seje. Čeprav so ti ponavadi delovno intenzivni, se bodo motivirani napadalci še vedno trudili poskušati zaobiti MFA in zagotovo 2FA, pravi.
"Such attacks require much higher levels of engagement by attackers and many additional steps that will deter less motivated threat actors, but compromising an organization's supply chain offers a potentially huge payoff for threat actors, and many may decide that the extra effort is worth it," she says.
Medtem ko repozitoriji sprejemajo ukrepe za varnejše okolje, morajo organizacije in razvijalci sprejeti lastne previdnostne ukrepe, svetuje Hasan.
"Organizations need modern supply chain tamper detection tools that help companies break down what's in their software and avoid deployment of unknown and dangerous components," he says. Also, efforts like seznami materialov programske opreme (SBOM) in upravljanje površin napadov lahko pomaga.
- Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
- PlatoAiStream. Podatkovna inteligenca Web3. Razširjeno znanje. Dostopite tukaj.
- Kovanje prihodnosti z Adryenn Ashley. Dostopite tukaj.
- Kupujte in prodajajte delnice podjetij pred IPO s PREIPO®. Dostopite tukaj.
- vir: https://www.darkreading.com/application-security/pypi-2fa-requirements-dont-go-far-enough
- :ima
- : je
- :ne
- $GOR
- 2023
- 2FA
- a
- dostop
- Račun
- prevzem računa
- računi
- akterji
- Poleg tega
- Dodatne
- Prednost
- zagovorništvo
- proti
- vsi
- omogočajo
- Prav tako
- sredi
- an
- in
- Objava
- kdo
- API
- aplikacija
- pristop
- aplikacije
- SE
- okoli
- At
- Napadi
- Preverjanje pristnosti
- izogniti
- nazaj
- Slab
- temeljijo
- BE
- ker
- začetek
- počutje
- koristi
- med
- Računov
- Bloki
- Blog
- Break
- prinašajo
- brskalnik
- izgradnjo
- Building
- vendar
- by
- CAN
- ceo
- nekatere
- Zagotovo
- verige
- So-ustanovitelj
- Koda
- kodirano
- prihaja
- Skupno
- pogosto
- Podjetja
- deli
- celovito
- Kompromis
- Ogroženo
- ogrozili
- Vsebina
- stalno
- piškotki
- bi
- Mandatno
- kritično
- cybercriminals
- Nevarno
- Dave
- odloča
- Odvisno
- uvajanje
- Odkrivanje
- Razvojni
- Razvijalci
- naprava
- smer
- Direktor
- Django
- do
- don
- Donald
- navzdol
- Zgodnje
- enostavno
- prizadevanje
- prizadevanja
- bodisi
- omogočajo
- spodbujati
- konec
- izvršba
- sodelovanje
- dovolj
- okolja
- Eter (ETH)
- Primer
- obstoječih
- razložiti
- Pojasni
- izkoriščanje
- dodatna
- daleč
- Feature
- za
- Nekdanji
- prej
- iz
- funkcionalnost
- dobili
- GitHub
- Go
- veliko
- strojna oprema
- strojna naprava
- Imajo
- he
- pomoč
- več
- kljuke
- upa
- gostovanje
- Hiša
- HTTPS
- velika
- Lov
- izvajati
- in
- V drugi
- vključujejo
- Vključno
- Indeks
- okužba
- začetna
- namestitev
- Namestitev
- Intelligence
- namenjen
- v
- vključujejo
- IT
- jpg
- dela
- jezik
- jeziki
- plasti
- legitimno
- manj
- ravni
- Vzvod
- Knjižnica
- življenje
- kot
- Verjeten
- si
- Sklop
- velika
- Znamka
- zlonamerna programska oprema
- več
- materiali
- Maj ..
- MZZ
- napaka
- sodobna
- več
- Najbolj
- motivirani
- premikanje
- veliko
- več
- poimenovanje
- Nimate
- potrebna
- št
- Opombe
- zdaj
- of
- Ponudbe
- Ponudbe
- Uradni
- on
- enkrat
- ONE
- odprite
- open source
- Možnost
- or
- Organizacija
- organizacije
- Ostalo
- ven
- Splošni
- lastne
- paket
- pakete
- zlasti
- pivot
- platon
- Platonova podatkovna inteligenca
- PlatoData
- Točka
- mogoče
- potencialno
- Predsednik
- preprečiti
- Programiranje
- programskih jezikov
- programi
- Projekt
- projekti
- vlečenje
- Push
- Python
- vprašanje
- vprašanja
- res
- Pred kratkim
- recikliranje
- Odstranjeno
- Skladišče
- Ugled
- zahteva
- Zahteve
- raziskovalci
- Pravica
- Run
- s
- varnejši
- Je dejal
- pravijo,
- pravi
- scenariji
- varnost
- varnostni žeton
- videl
- izbiranje
- Zasedanje
- sej
- je
- podpisati
- Silver
- saj
- spletna stran
- Software
- vir
- Izvorna koda
- Korak
- Koraki
- Še vedno
- stop
- taka
- dobavi
- dobavne verige
- Površina
- Preklop
- taktike
- Bodite
- prevzeti
- ob
- da
- O
- njihove
- Njih
- POTEM
- Tukaj.
- te
- ta
- tisti,
- Grožnja
- akterji groženj
- obveščevalna nevarnost
- do
- žeton
- Boni
- orodja
- Težava
- zaupa
- neznan
- uporabno
- Uporaba
- uporaba
- Rabljeni
- uporabnik
- Uporabniki
- uporabo
- navadno
- različnih
- Ve
- Proti
- Podpredsednica
- način..
- načini
- we
- Kaj
- kdaj
- ki
- medtem
- zakaj
- pogosto
- bo
- z
- besede
- delo
- vredno
- bi
- leto
- zefirnet