ที่เก็บรหัสโอเพ่นซอร์สอย่างเป็นทางการสำหรับภาษาการเขียนโปรแกรม Python, Python Package Index (PyPI) จะกำหนดให้บัญชีผู้ใช้ทั้งหมดเปิดใช้งานการตรวจสอบสิทธิ์แบบสองปัจจัย (2FA) ภายในสิ้นปี 2023
การย้ายการรักษาความปลอดภัยอาจช่วยป้องกันผู้โจมตีทางไซเบอร์ไม่ให้ประนีประนอมบัญชีผู้ดูแลและแทรกโค้ดที่เป็นอันตรายลงในโครงการที่ถูกต้องตามกฎหมายที่มีอยู่ แต่ก็ไม่ใช่เรื่องยากเมื่อพูดถึงการรักษาความปลอดภัยห่วงโซ่อุปทานซอฟต์แวร์โดยรวม นักวิจัยเตือน
“ระหว่างนี้ถึงสิ้นปี PyPI จะเริ่มเข้าถึงฟังก์ชันการทำงานบางอย่างของไซต์ตามการใช้งาน 2FA” Donald Stufft ผู้ดูแลระบบและผู้ดูแล PyPI อธิบายใน โพสต์บล็อกล่าสุด. "นอกจากนี้ เราอาจเริ่มเลือกผู้ใช้หรือโครงการบางอย่างเพื่อการบังคับใช้ล่วงหน้า"
ในการใช้ 2FA ผู้ดูแลแพ็คเกจมีตัวเลือกในการใช้โทเค็นความปลอดภัยหรืออุปกรณ์ฮาร์ดแวร์อื่น ๆ หรือแอพตรวจสอบความถูกต้อง และ Stufft กล่าวว่าผู้ใช้ควรเปลี่ยนไปใช้อย่างใดอย่างหนึ่ง ผู้เผยแพร่ที่เชื่อถือได้ของ PyPI คุณลักษณะหรือโทเค็น API เพื่ออัปโหลดรหัสไปยัง PyPI
การขัดขวางกิจกรรมแพ็คเกจที่เป็นอันตรายของ PyPI
การประกาศดังกล่าวเกิดขึ้นท่ามกลางการโจมตีจำนวนมากจากอาชญากรไซเบอร์ที่ต้องการแทรกซึมโปรแกรมซอฟต์แวร์และแอพต่างๆ ด้วยมัลแวร์ ซึ่งสามารถแพร่กระจายในวงกว้างต่อไปได้ ตั้งแต่ PyPI และ ที่เก็บอื่น ๆ เช่น npm และ GitHub เป็นที่ตั้งของหน่วยการสร้างที่นักพัฒนาใช้เพื่อสร้างข้อเสนอเหล่านั้น การประนีประนอมเนื้อหาเป็นวิธีที่ยอดเยี่ยมในการทำเช่นนั้น
นักวิจัยกล่าวว่า 2FA โดยเฉพาะ (ซึ่ง GitHub เพิ่งนำมาใช้) จะช่วยป้องกันการยึดครองบัญชีของนักพัฒนาซอฟต์แวร์ ซึ่งเป็นวิธีหนึ่งที่ผู้ไม่หวังดีเข้ามายุ่งเกี่ยวกับแอป
"เราเคยเห็น เปิดตัวการโจมตีแบบฟิชชิง กับผู้ดูแลโครงการสำหรับแพ็คเกจ PyPI ที่ใช้กันทั่วไปซึ่งมีจุดประสงค์เพื่อโจมตีบัญชีเหล่านั้น” Ashlee Benge ผู้อำนวยการฝ่ายสนับสนุนข่าวกรองภัยคุกคามที่ ReversingLabs กล่าว “เมื่อถูกบุกรุก บัญชีเหล่านั้นจะสามารถใช้เพื่อส่งโค้ดที่เป็นอันตรายไปยังโครงการ PyPI ที่เป็นปัญหาได้อย่างง่ายดาย ”
Dave Truman รองประธานฝ่ายความเสี่ยงทางไซเบอร์ของ Kroll กล่าวว่า หนึ่งในสถานการณ์ที่เป็นไปได้มากที่สุดของการติดไวรัสครั้งแรกคือนักพัฒนาติดตั้งแพคเกจที่เป็นอันตรายโดยไม่ได้ตั้งใจ ตัวอย่างเช่น การพิมพ์คำสั่งติดตั้ง Python โดยไม่ได้ตั้งใจ
“แพ็คเกจที่เป็นอันตรายจำนวนมากมีฟังก์ชันสำหรับการขโมยข้อมูลประจำตัวหรือคุกกี้เซสชันของเบราว์เซอร์ และได้รับการเข้ารหัสให้ทำงานบนแพ็คเกจที่เป็นอันตรายที่กำลังติดตั้ง” เขาอธิบาย “ ณ จุดนี้ มัลแวร์จะขโมยข้อมูลรับรองและเซสชันซึ่งอาจรวมถึงการเข้าสู่ระบบที่ใช้งานได้กับ PyPI กล่าวอีกนัยหนึ่ง … นักพัฒนาคนหนึ่งสามารถอนุญาตให้นักแสดงเปลี่ยนทิศทางได้ การโจมตีห่วงโซ่อุปทานครั้งใหญ่ ขึ้นอยู่กับว่านักพัฒนารายนั้นเข้าถึงอะไรได้บ้าง — 2FA บน PyPI จะช่วยหยุดนักแสดงใช้ประโยชน์จาก [นั้น]"
ซอฟต์แวร์ความปลอดภัยในห่วงโซ่อุปทานเพิ่มเติม งานที่ต้องทำ
Benge จาก ReversingLabs ตั้งข้อสังเกตว่าแม้ว่าข้อกำหนด 2FA ของ PyPI จะเป็นก้าวไปในทิศทางที่ถูกต้อง แต่จำเป็นต้องมีชั้นการรักษาความปลอดภัยที่มากขึ้นเพื่อล็อคห่วงโซ่อุปทานของซอฟต์แวร์อย่างแท้จริง นั่นเป็นเพราะว่าหนึ่งในวิธีที่อาชญากรไซเบอร์ใช้ประโยชน์จากคลังซอฟต์แวร์ที่พบบ่อยที่สุดก็คือ อัปโหลดแพ็คเกจที่เป็นอันตรายของตนเอง โดยหวังว่าจะหลอกให้นักพัฒนาดึงพวกเขาเข้ามาในซอฟต์แวร์ของตน
ท้ายที่สุดแล้ว ทุกคนสามารถลงทะเบียนบัญชี PyPI ได้โดยไม่ต้องมีคำถามใดๆ
ความพยายามเหล่านี้มักจะเกี่ยวข้องกับกลยุทธ์วิศวกรรมสังคมธรรมดา ๆ เธอกล่าวว่า: "Typosquatting เป็นเรื่องปกติ — ตัวอย่างเช่น การตั้งชื่อแพ็คเกจ 'djanga' (มีโค้ดที่เป็นอันตราย) กับ 'django' (ไลบรารีที่ถูกกฎหมายและใช้กันทั่วไป)"
อีกกลยุทธ์หนึ่งคือการตามล่าหาโครงการที่ถูกทิ้งร้างเพื่อนำกลับมามีชีวิตอีกครั้ง “โครงการที่ไม่เป็นพิษเป็นภัยก่อนหน้านี้ถูกละทิ้ง ลบออก และนำมาใช้ใหม่เพื่อโฮสต์มัลแวร์ เช่นเดียวกับเทอมคัลเลอร์"เธออธิบาย วิธีการรีไซเคิลนี้ช่วยให้ผู้ไม่ประสงค์ดีได้รับประโยชน์จากการใช้ชื่อเสียงที่ถูกต้องตามกฎหมายของโครงการเดิมเพื่อล่อลวงนักพัฒนา
“ศัตรูกำลังค้นหาวิธีการต่างๆ อย่างต่อเนื่อง ให้นักพัฒนาใช้แพ็คเกจที่เป็นอันตรายซึ่งเป็นเหตุผลว่าทำไม Python และภาษาการเขียนโปรแกรมอื่นๆ ที่มีคลังซอฟต์แวร์อย่าง PyPi จึงจำเป็นอย่างยิ่งที่จะต้องมีแนวทางห่วงโซ่อุปทานซอฟต์แวร์ที่ครอบคลุมเพื่อความปลอดภัย” Javed Hasan ซีอีโอและผู้ร่วมก่อตั้ง Lineaje กล่าว
นอกจากนี้ยังมีหลายวิธีในการเอาชนะ 2FA Benge note รวมถึง การแลกเปลี่ยน SIMการแสวงหาประโยชน์จาก OIDC และการไฮแจ็กเซสชัน แม้ว่าสิ่งเหล่านี้มักจะใช้แรงงานมาก แต่ผู้โจมตีที่มีแรงจูงใจจะยังคงประสบปัญหาในการพยายามหลีกเลี่ยง MFA และแน่นอน 2FA เธอกล่าว
“การโจมตีดังกล่าวต้องการการมีส่วนร่วมของผู้โจมตีในระดับที่สูงกว่ามาก และขั้นตอนเพิ่มเติมมากมายที่จะขัดขวางผู้ก่อภัยคุกคามที่มีแรงจูงใจน้อยลง แต่การประนีประนอมในห่วงโซ่อุปทานขององค์กรอาจให้ผลตอบแทนมหาศาลแก่ผู้ก่อภัยคุกคาม และหลายคนอาจตัดสินใจว่าความพยายามพิเศษนี้คุ้มค่า " เธอพูดว่า.
ในขณะที่พื้นที่เก็บข้อมูลดำเนินการเพื่อทำให้สภาพแวดล้อมปลอดภัยยิ่งขึ้น องค์กรและนักพัฒนาจำเป็นต้องใช้มาตรการป้องกันตนเอง Hasan ให้คำแนะนำ
“องค์กรต่างๆ ต้องการเครื่องมือตรวจจับการงัดแงะในห่วงโซ่อุปทานที่ทันสมัย ซึ่งช่วยให้บริษัทต่างๆ แยกย่อยสิ่งที่อยู่ในซอฟต์แวร์ของตน และหลีกเลี่ยงการปรับใช้ส่วนประกอบที่ไม่รู้จักและเป็นอันตราย” เขากล่าว อีกทั้งความพยายามเช่น ค่าวัสดุซอฟต์แวร์ (SBOM) และ การจัดการพื้นผิวการโจมตี สามารถช่วย
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- เพลโตไอสตรีม. ข้อมูลอัจฉริยะ Web3 ขยายความรู้ เข้าถึงได้ที่นี่.
- การสร้างอนาคตโดย Adryenn Ashley เข้าถึงได้ที่นี่.
- ซื้อและขายหุ้นในบริษัท PRE-IPO ด้วย PREIPO® เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/application-security/pypi-2fa-requirements-dont-go-far-enough
- :มี
- :เป็น
- :ไม่
- $ ขึ้น
- 2023
- 2FA
- a
- เข้า
- ลงชื่อเข้าใช้
- การครอบครองบัญชี
- บัญชี
- นักแสดง
- นอกจากนี้
- เพิ่มเติม
- ความได้เปรียบ
- การสนับสนุน
- กับ
- ทั้งหมด
- อนุญาต
- ด้วย
- ท่ามกลาง
- an
- และ
- การประกาศ
- ทุกคน
- API
- app
- เข้าใกล้
- ปพลิเคชัน
- เป็น
- รอบ
- At
- การโจมตี
- การยืนยันตัวตน
- หลีกเลี่ยง
- กลับ
- ไม่ดี
- ตาม
- BE
- เพราะ
- เริ่ม
- กำลัง
- ประโยชน์
- ระหว่าง
- ธนบัตร
- Blocks
- บล็อก
- ทำลาย
- นำมาซึ่ง
- เบราว์เซอร์
- สร้าง
- การก่อสร้าง
- แต่
- by
- CAN
- ผู้บริหารสูงสุด
- บาง
- อย่างแน่นอน
- โซ่
- ผู้ร่วมก่อตั้ง
- รหัส
- รหัส
- มา
- ร่วมกัน
- อย่างธรรมดา
- บริษัท
- ส่วนประกอบ
- ครอบคลุม
- การประนีประนอม
- ที่ถูกบุกรุก
- ประนีประนอม
- เนื้อหา
- เรื่อย
- คุ้กกี้
- ได้
- หนังสือรับรอง
- วิกฤติ
- อาชญากรไซเบอร์
- Dangerous
- เดฟ
- ตัดสินใจ
- ทั้งนี้ขึ้นอยู่กับ
- การใช้งาน
- การตรวจพบ
- ผู้พัฒนา
- นักพัฒนา
- เครื่อง
- ทิศทาง
- ผู้อำนวยการ
- Django
- do
- สวม
- โดนัลด์
- ลง
- ก่อน
- อย่างง่ายดาย
- ความพยายาม
- ความพยายาม
- ทั้ง
- ทำให้สามารถ
- สนับสนุนให้
- ปลาย
- การบังคับใช้
- มีส่วนร่วม
- พอ
- สภาพแวดล้อม
- อีเธอร์ (ETH)
- ตัวอย่าง
- ที่มีอยู่
- อธิบาย
- อธิบาย
- การแสวงหาผลประโยชน์
- พิเศษ
- ไกล
- ลักษณะ
- สำหรับ
- อดีต
- สมัยก่อน
- ราคาเริ่มต้นที่
- ฟังก์ชั่น
- ได้รับ
- GitHub
- Go
- ยิ่งใหญ่
- ฮาร์ดแวร์
- อุปกรณ์ฮาร์ดแวร์
- มี
- he
- ช่วย
- สูงกว่า
- ตะขอ
- หวัง
- โฮสติ้ง
- บ้าน
- HTTPS
- ใหญ่
- การล่าสัตว์
- การดำเนินการ
- in
- ในอื่น ๆ
- ประกอบด้วย
- รวมทั้ง
- ดัชนี
- การติดเชื้อ
- แรกเริ่ม
- ติดตั้ง
- การติดตั้ง
- Intelligence
- ตั้งใจว่า
- เข้าไป
- รวมถึง
- IT
- jpg
- แรงงาน
- ภาษา
- ภาษา
- ชั้น
- ถูกกฎหมาย
- น้อยลง
- ระดับ
- เลฟเวอเรจ
- ห้องสมุด
- ชีวิต
- กดไลก์
- น่าจะ
- ที่ต้องการหา
- Lot
- สำคัญ
- ทำ
- มัลแวร์
- หลาย
- วัสดุ
- อาจ..
- ไอ้เวรตะไล
- ข้อผิดพลาด
- ทันสมัย
- ข้อมูลเพิ่มเติม
- มากที่สุด
- แรงบันดาลใจ
- ย้าย
- มาก
- หลาย
- การตั้งชื่อ
- จำเป็นต้อง
- จำเป็น
- ไม่
- หมายเหตุ / รายละเอียดเพิ่มเติม
- ตอนนี้
- of
- การเสนอขาย
- เสนอ
- เป็นทางการ
- on
- ครั้งเดียว
- ONE
- เปิด
- โอเพนซอร์ส
- ตัวเลือกเสริม (Option)
- or
- organizacja
- องค์กร
- อื่นๆ
- ออก
- ทั้งหมด
- ของตนเอง
- แพ็คเกจ
- แพคเกจ
- ในสิ่งที่สนใจ
- เดือย
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- จุด
- อาจ
- ที่อาจเกิดขึ้น
- ประธาน
- ป้องกัน
- การเขียนโปรแกรม
- การเขียนโปรแกรมภาษา
- โปรแกรม
- โครงการ
- โครงการ
- การดึง
- ผลัก
- หลาม
- คำถาม
- คำถาม
- จริงๆ
- เมื่อเร็ว ๆ นี้
- การรีไซเคิล
- ลบออก
- กรุ
- ชื่อเสียง
- ต้องการ
- ความต้องการ
- นักวิจัย
- ขวา
- วิ่ง
- s
- ปลอดภัยมากขึ้น
- กล่าวว่า
- กล่าว
- พูดว่า
- สถานการณ์
- ความปลอดภัย
- โทเค็นการรักษาความปลอดภัย
- เห็น
- การเลือก
- เซสชั่น
- ครั้ง ราคา
- เธอ
- ลงชื่อ
- เงิน
- ตั้งแต่
- เว็บไซต์
- ซอฟต์แวร์
- แหล่ง
- รหัสแหล่งที่มา
- ขั้นตอน
- ขั้นตอน
- ยังคง
- หยุด
- อย่างเช่น
- จัดหาอุปกรณ์
- ห่วงโซ่อุปทาน
- พื้นผิว
- สวิตซ์
- กลยุทธ์
- เอา
- การครอบครอง
- การ
- ที่
- พื้นที่
- ของพวกเขา
- พวกเขา
- แล้วก็
- ที่นั่น
- ล้อยางขัดเหล่านี้ติดตั้งบนแกน XNUMX (มม.) ผลิตภัณฑ์นี้ถูกผลิตในหลายรูปทรง และหลากหลายเบอร์ความแน่นหนาของปริมาณอนุภาคขัดของมัน จะทำให้ท่านได้รับประสิทธิภาพสูงในการขัดและการใช้งานที่ยาวนาน
- นี้
- เหล่านั้น
- การคุกคาม
- ตัวแสดงภัยคุกคาม
- ภัยคุกคามที่ชาญฉลาด
- ไปยัง
- โทเค็น
- ราชสกุล
- เครื่องมือ
- ปัญหา
- ที่เชื่อถือ
- ไม่ทราบ
- ใช้ได้
- การใช้
- ใช้
- มือสอง
- ผู้ใช้งาน
- ผู้ใช้
- การใช้
- มักจะ
- ต่างๆ
- Ve
- กับ
- Vice President
- ทาง..
- วิธี
- we
- อะไร
- เมื่อ
- ที่
- ในขณะที่
- ทำไม
- อย่างกว้างขวาง
- จะ
- กับ
- คำ
- งาน
- คุ้มค่า
- จะ
- ปี
- ลมทะเล