Det officiella arkivet för öppen källkod för programmeringsspråket Python, Python Package Index (PyPI), kommer att kräva att alla användarkonton aktiverar tvåfaktorsautentisering (2FA) i slutet av 2023.
Säkerhetsdraget kan hjälpa till att förhindra cyberattackare från att äventyra underhållskonton och injicera skadlig kod i befintliga legitima projekt, men det är inte en kul kula när det gäller att stärka den övergripande säkerheten i programvarans leveranskedja, varnar forskare.
"Mellan nu och slutet av året kommer PyPI att börja grinda åtkomst till viss webbplatsfunktionalitet baserad på 2FA-användning", förklarade PyPI-administratören och underhållaren Donald Stufft, i en senaste blogginlägg. "Dessutom kan vi börja välja vissa användare eller projekt för tidig tillämpning."
För att implementera 2FA har paketunderhållare möjlighet att använda en säkerhetstoken eller annan hårdvaruenhet, eller en autentiseringsapp; och Stufft sa att användare uppmuntras att byta till att använda antingen PyPI:s betrodda utgivare funktion eller API-tokens för att ladda upp kod till PyPI.
Stämma PyPI:s skadliga paketaktivitet
Tillkännagivandet kommer mitt i en mängd attacker från cyberkriminella som vill infiltrera olika program och appar med skadlig programvara som sedan kan spridas brett. Sedan PyPI och andra förråd som npm och GitHub innehåller byggstenarna som utvecklare använder för att bygga dessa erbjudanden, att kompromissa med deras innehåll är ett bra sätt att göra det.
Forskare säger att 2FA i synnerhet (som GitHub har också nyligen implementerats) kommer att hjälpa till att förhindra övertagande av utvecklarkonton, vilket är ett sätt som dåliga skådespelare kan få in sina appar.
"Vi har sett nätfiskeattacker lanserades mot projektunderhållarna för vanliga PyPI-paket som är avsedda att äventyra dessa konton", säger Ashlee Benge, chef för hotintelligence advocacy på ReversingLabs. "När de har äventyrats kan dessa konton enkelt användas för att skicka skadlig kod till PyPI-projektet i fråga. ."
Ett av de mest troliga scenarierna för initial infektion skulle vara en utvecklare som av misstag installerar ett skadligt paket, till exempel genom att skriva ett Python-installationskommando av misstag, säger Dave Truman, vice VD för cyberrisk på Kroll.
"Många av de skadliga paketen innehåller funktionalitet för att stjäla referenser eller webbläsarsessionscookies och är kodade för att köras på det skadliga paketet som installeras", förklarar han. "Vid denna tidpunkt skulle skadlig programvara stjäla deras referenser och sessioner som möjligen kan inkludera inloggningar som kan användas med PyPI. Med andra ord... en utvecklare kan tillåta skådespelaren att svänga till en stor leveranskedjasattack beroende på vad den utvecklaren har tillgång till — 2FA på PyPI skulle hjälpa till att stoppa skådespelaren från att dra nytta av [det]."
Mer arbete att göra med säkerhet i försörjningskedjan för programvara
ReversingLabs' Benge noterar att även om PyPI:s 2FA-krav är ett steg i rätt riktning, behövs fler säkerhetslager för att verkligen låsa ner mjukvaruförsörjningskedjan. Det beror på att ett av de vanligaste sätten som cyberbrottslingar utnyttjar programvaruförråd är ladda upp sina egna skadliga paket i hopp om att lura utvecklare att dra in dem i sin programvara.
När allt kommer omkring kan vem som helst registrera sig för ett PyPI-konto, inga frågor.
Dessa ansträngningar involverar vanligtvis vardagliga socialtekniska taktiker, säger hon:Typosquatting är vanligt — till exempel att namnge ett paket 'djanga' (som innehåller skadlig kod) kontra 'django' (det legitima och ofta använda biblioteket)."
En annan taktik är att jaga efter övergivna projekt för att få liv igen. "Ett tidigare godartat projekt överges, tas bort och sedan återanvänds för att vara värd för skadlig programvara, som med termcolour", förklarar hon. Denna återvinningsmetod ger illvilliga aktörer fördelen av att använda det tidigare projektets legitima rykte för att locka in utvecklare.
"Motståndare funderar hela tiden på flera sätt att göra det på få utvecklare att använda skadliga paket, vilket är anledningen till att det är avgörande för Python och andra programmeringsspråk med programvarulager som PyPi att ha en heltäckande mjukvaruförsörjningskedja för säkerhet", säger Javed Hasan, VD och medgrundare, Lineaje.
Det finns också flera sätt att besegra 2FA, Benge noterar, inklusive SIM-byte, OIDC-exploatering och sessionskapning. Även om dessa tenderar att vara arbetsintensiva, kommer motiverade angripare fortfarande att göra sig besväret med att försöka komma runt MFA och definitivt 2FA, säger hon.
"Sådana attacker kräver mycket högre nivåer av engagemang från angripare och många ytterligare steg som kommer att avskräcka mindre motiverade hotaktörer, men att kompromissa med en organisations försörjningskedja erbjuder en potentiellt enorm utdelning för hotaktörer, och många kan besluta att den extra ansträngningen är värt det, " hon säger.
Medan förvar vidtar åtgärder för att göra sina miljöer säkrare, måste organisationer och utvecklare vidta sina egna försiktighetsåtgärder, råder Hasan.
"Organisationer behöver moderna verktyg för att upptäcka manipulation av leveranskedjan som hjälper företag att bryta ner vad som finns i deras mjukvara och undvika distribution av okända och farliga komponenter", säger han. Även ansträngningar som mjukvarulistor (SBOM) och attackera ytbehandling kan hjälpa till.
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- PlatoAiStream. Web3 Data Intelligence. Kunskap förstärkt. Tillgång här.
- Minting the Future med Adryenn Ashley. Tillgång här.
- Köp och sälj aktier i PRE-IPO-företag med PREIPO®. Tillgång här.
- Källa: https://www.darkreading.com/application-security/pypi-2fa-requirements-dont-go-far-enough
- : har
- :är
- :inte
- $UPP
- 2023
- 2FA
- a
- tillgång
- Konto
- kontot övertagande
- konton
- aktörer
- Dessutom
- Annat
- Fördel
- befrämjande
- mot
- Alla
- tillåter
- också
- mitt i
- an
- och
- Tillkännagivande
- någon
- api
- app
- tillvägagångssätt
- appar
- ÄR
- runt
- At
- Attacker
- Autentisering
- undvika
- tillbaka
- Badrum
- baserat
- BE
- därför att
- börja
- Där vi får lov att vara utan att konstant prestera,
- fördel
- mellan
- Sedlar
- Block
- Blogg
- Ha sönder
- föra
- webbläsare
- SLUTRESULTAT
- Byggnad
- men
- by
- KAN
- VD
- vissa
- säkerligen
- kedja
- Medgrundare
- koda
- kodad
- kommer
- Gemensam
- vanligen
- Företag
- komponenter
- omfattande
- kompromiss
- Äventyras
- komprometterande
- innehåll
- kontinuerligt
- Cookiepolicy
- kunde
- referenser
- kritisk
- nätbrottslingar
- Dangerous
- Dave
- beslutar
- beroende
- utplacering
- Detektering
- Utvecklare
- utvecklare
- anordning
- riktning
- Direktör
- Django
- do
- donation
- donald
- ner
- Tidig
- lätt
- ansträngning
- ansträngningar
- antingen
- möjliggöra
- uppmuntras
- änden
- tillämpning
- ingrepp
- tillräckligt
- miljöer
- Eter (ETH)
- exempel
- befintliga
- förklarade
- Förklarar
- utnyttjande
- extra
- långt
- Leverans
- För
- Tidigare
- förr
- från
- funktionalitet
- skaffa sig
- GitHub
- Go
- stor
- hårdvara
- hårdvara
- Har
- he
- hjälpa
- högre
- krokar
- hoppas
- värd
- Huset
- HTTPS
- stor
- jakt
- genomföra
- in
- I andra
- innefattar
- Inklusive
- index
- infektion
- inledande
- installera
- installera
- Intelligens
- avsedd
- in
- engagera
- IT
- jpg
- arbetskraft
- språk
- Språk
- skikt
- legitim
- mindre
- nivåer
- Hävstång
- Bibliotek
- livet
- tycka om
- sannolikt
- du letar
- Lot
- större
- göra
- malware
- många
- material
- Maj..
- UD
- misstag
- Modern Konst
- mer
- mest
- motiverad
- flytta
- mycket
- multipel
- namngivning
- Behöver
- behövs
- Nej
- Anmärkningar
- nu
- of
- offer~~POS=TRUNC
- Erbjudanden
- tjänsteman
- on
- gång
- ONE
- öppet
- öppen källkod
- Alternativet
- or
- organisation
- organisationer
- Övriga
- ut
- övergripande
- egen
- paket
- paket
- särskilt
- pivot
- plato
- Platon Data Intelligence
- PlatonData
- Punkt
- eventuellt
- potentiellt
- VD
- förhindra
- Programmering
- programmeringsspråk
- Program
- projektet
- projekt
- dra
- Tryck
- Python
- fråga
- frågor
- verkligen
- nyligen
- återvinning
- avlägsnas
- Repository
- rykte
- kräver
- Krav
- forskare
- höger
- Körning
- s
- säkrare
- Nämnda
- säga
- säger
- scenarier
- säkerhet
- säkerhetstoken
- sett
- väljer
- session
- sessioner
- hon
- signera
- Silver
- eftersom
- webbplats
- Mjukvara
- Källa
- källkod
- Steg
- Steg
- Fortfarande
- Sluta
- sådana
- leverera
- leveranskedjan
- yta
- Växla
- taktik
- Ta
- övertagande
- tar
- den där
- Smakämnen
- deras
- Dem
- sedan
- Där.
- Dessa
- detta
- de
- hot
- hotaktörer
- hot intelligence
- till
- token
- tokens
- verktyg
- problem
- betrodd
- okänd
- användbar
- Användning
- användning
- Begagnade
- Användare
- användare
- med hjälp av
- vanligen
- olika
- Ve
- Kontra
- Vice President
- Sätt..
- sätt
- we
- Vad
- när
- som
- medan
- varför
- brett
- kommer
- med
- ord
- Arbete
- värt
- skulle
- år
- zephyrnet