Python programlama dili için resmi açık kaynak kod deposu olan Python Paket Dizini (PyPI), 2'ün sonuna kadar tüm kullanıcı hesaplarının iki faktörlü kimlik doğrulamayı (2023FA) etkinleştirmesini gerektirecektir.
Güvenlik hamlesi, siber saldırganların bakımcı hesaplarını ele geçirmesini ve mevcut yasal projelere kötü amaçlı kod yerleştirmesini önlemeye yardımcı olabilir, ancak araştırmacılar, genel yazılım tedarik zinciri güvenliğinin desteklenmesi söz konusu olduğunda bunun sihirli bir çözüm olmadığı konusunda uyarıyor.
PyPI yöneticisi ve bakımcısı Donald Stufft, "Şimdi ile yıl sonu arasında PyPI, 2FA kullanımına dayalı olarak belirli site işlevlerine erişim sağlamaya başlayacak" dedi. son blog gönderisi. "Ayrıca, erken uygulama için belirli kullanıcıları veya projeleri seçmeye başlayabiliriz."
2FA'yı uygulamak için, paket sahipleri bir güvenlik belirteci veya başka bir donanım cihazı ya da bir kimlik doğrulama uygulaması kullanma seçeneğine sahiptir; ve Stufft, kullanıcıların ikisinden birini kullanmaya teşvik edildiğini söyledi PyPI'nin Güvenilir Yayıncıları PyPI'ye kod yüklemek için özellik veya API belirteçleri.
PyPI'nin Kötü Amaçlı Paket Etkinliğini Köklendirme
Duyuru, daha sonra geniş çapta yayılmaya devam edebilecek kötü amaçlı yazılım içeren çeşitli yazılım programlarına ve uygulamalara sızmak isteyen siber suçlular tarafından yapılan bir dizi saldırının ortasında geliyor. PyPI beri ve npm gibi diğer depolar ve GitHub, geliştiricilerin bu teklifleri oluşturmak için kullandıkları yapı taşlarını barındırır ve içeriklerinden ödün vermek bunu yapmanın harika bir yoludur.
Araştırmacılar, özellikle 2FA'nın (hangi GitHub ayrıca yakın zamanda uygulandı), geliştirici hesabının ele geçirilmesini önlemeye yardımcı olur; bu, kötü aktörlerin uygulamalara girmesinin bir yoludur.
"Gördük oltalama saldırıları başlatıldı ReversingLabs Tehdit İstihbaratı Direktörü Ashlee Benge, "Bu hesapları tehlikeye atmayı amaçlayan yaygın olarak kullanılan PyPI paketleri için proje yöneticilerine karşı" diyor ve şöyle devam ediyor: "Bu hesaplar bir kez ele geçirildiğinde, söz konusu PyPI projesine kötü amaçlı kod göndermek için kolayca kullanılabilir "
Kroll'da siber riskten sorumlu başkan yardımcısı Dave Truman, ilk bulaşmanın en olası senaryolarından birinin, bir geliştiricinin yanlışlıkla kötü amaçlı bir paket yüklemesi, örneğin yanlışlıkla bir Python yükleme komutu yazması olabilir, diyor.
"Kötü amaçlı paketlerin çoğu, kimlik bilgilerini veya tarayıcı oturumu çerezlerini çalmaya yönelik işlevler içerir ve yüklenen kötü amaçlı paket üzerinde çalışacak şekilde kodlanmıştır" diye açıklıyor. "Bu noktada kötü amaçlı yazılım, PyPI ile kullanılabilecek oturum açma bilgilerini de içerebilecek kimlik bilgilerini ve oturumları çalacaktır. Başka bir deyişle… bir geliştirici, aktörün başka bir yöne dönmesine izin verebilir. büyük bir tedarik zinciri saldırısı geliştiricinin neye erişebildiğine bağlı olarak — PyPI'deki 2FA, aktörün [bundan] yararlanmasını engellemeye yardımcı olacaktır."
Yapılacak Daha Fazla Yazılım Tedarik Zinciri Güvenliği Çalışması
ReversingLabs'tan Benge, PyPI'nin 2FA gerekliliklerinin doğru yönde atılmış bir adım olmasına rağmen, yazılım tedarik zincirini gerçekten kilitlemek için daha fazla güvenlik katmanına ihtiyaç duyulduğunu belirtiyor. Bunun nedeni, siber suçluların yazılım depolarından yararlanmanın en yaygın yollarından birinin, kendi kötü amaçlı paketlerini yüklemek geliştiricileri kandırarak onları yazılımlarına çekme umuduyla.
Sonuçta, herhangi bir soru sorulmadan herkes bir PyPI hesabına kaydolabilir.
Bu çabalar genellikle sıradan sosyal mühendislik taktiklerini içeriyor, diyor: "Yazım hatası yaygındır — örneğin, bir paketin adının 'djanga' (kötü amaçlı kod içeren) yerine 'django' (meşru ve yaygın olarak kullanılan kitaplık) olarak adlandırılması."
Diğer bir taktik ise hayata geri döndürmek için terk edilmiş projeleri aramaktır. "Eskiden zararsız bir proje terk ediliyor, kaldırılıyor ve daha sonra kötü amaçlı yazılım barındırmak üzere yeniden kullanılıyor. termcolor gibi" diye açıklıyor. Bu geri dönüşüm yaklaşımı, kötü niyetli aktörlere, geliştiricileri cezbetmek için eski projenin meşru itibarını kullanma avantajı sunuyor.
"Düşmanlar sürekli olarak birden fazla yol bulmaya çalışıyorlar. geliştiricilerin kötü niyetli paketleri kullanmasını sağlayınLineaje CEO'su ve kurucu ortağı Javed Hasan, Python ve PyPi gibi yazılım depolarına sahip diğer programlama dillerinin güvenliğe yönelik kapsamlı bir yazılım tedarik zinciri yaklaşımına sahip olmasının kritik olmasının nedeni budur" diyor.
Ayrıca, 2FA'yı yenmenin birçok yolu vardır, Benge şunları not eder: SIM değişimi, OIDC istismarı ve oturum kaçırma. Bunlar emek yoğun olma eğiliminde olsa da, motive olmuş saldırganlar yine de MFA ve kesinlikle 2FA çevresinde çalışma zahmetine girecekler, diyor.
"Bu tür saldırılar, saldırganların çok daha yüksek düzeyde katılımını ve motivasyonu düşük tehdit aktörlerini caydıracak birçok ek adımı gerektirir; ancak bir kuruluşun tedarik zincirini tehlikeye atmak, tehdit aktörleri için potansiyel olarak çok büyük bir getiri sunar ve çoğu kişi, ekstra çabanın buna değeceğine karar verebilir. " diyor.
Depolar çevrelerini daha güvenli hale getirmek için adımlar atarken, kuruluşların ve geliştiricilerin kendi önlemlerini almaları gerektiğini söylüyor Hasan.
"Kuruluşların, şirketlerin yazılımlarında bulunanları parçalamasına ve bilinmeyen ve tehlikeli bileşenlerin konuşlandırılmasını engellemesine yardımcı olacak modern tedarik zinciri kurcalama tespit araçlarına ihtiyacı var" diyor. Ayrıca bunun gibi çabalar yazılım malzeme listeleri (SBOM'ler) ve saldırı yüzeyi yönetimi yardımcı olabilir.
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- PlatoAiStream. Web3 Veri Zekası. Bilgi Genişletildi. Buradan Erişin.
- Adryenn Ashley ile Geleceği Basmak. Buradan Erişin.
- PREIPO® ile PRE-IPO Şirketlerinde Hisse Al ve Sat. Buradan Erişin.
- Kaynak: https://www.darkreading.com/application-security/pypi-2fa-requirements-dont-go-far-enough
- :vardır
- :dır-dir
- :olumsuzluk
- $UP
- 2023
- 2FA
- a
- erişim
- Hesap
- hesap devralma
- Hesaplar
- aktörler
- ilave
- Ek
- avantaj
- savunma
- karşı
- Türkiye
- izin vermek
- Ayrıca
- ortasında
- an
- ve
- duyuru
- kimse
- api
- uygulamayı yükleyeceğiz
- yaklaşım
- uygulamalar
- ARE
- etrafında
- At
- saldırılar
- Doğrulama
- önlemek
- Arka
- Kötü
- merkezli
- BE
- Çünkü
- başlamak
- olmak
- yarar
- arasında
- Fatura
- Blokları
- Blog
- mola
- getirmek
- tarayıcı
- inşa etmek
- bina
- fakat
- by
- CAN
- ceo
- belli
- kesinlikle
- zincir
- Kurucu
- kod
- kodlu
- geliyor
- ortak
- çoğunlukla
- Şirketler
- bileşenler
- kapsamlı
- uzlaşma
- Uzlaşılmış
- ödün
- içindekiler
- sürekli olarak
- kurabiye
- olabilir
- Tanıtım
- kritik
- siber suçluların
- Tehlikeli
- Dave
- karar vermek
- bağlı
- açılma
- Bulma
- Geliştirici
- geliştiriciler
- cihaz
- yön
- yönetmen
- Django
- do
- don
- donald
- aşağı
- Erken
- kolayca
- çaba
- çabaları
- ya
- etkinleştirmek
- teşvik
- son
- uygulama
- nişan
- yeterli
- ortamları
- Eter (ETH)
- örnek
- mevcut
- açıkladı
- açıklar
- istismar
- ekstra
- uzak
- Özellikler(Hazırlık aşamasında)
- İçin
- Eski
- eskiden
- itibaren
- işlevsellik
- almak
- GitHub
- Go
- harika
- donanım
- donanım aygıtı
- Var
- he
- yardım et
- daha yüksek
- Çengeller
- umut
- hosting
- ev
- HTTPS
- Kocaman
- av
- uygulamak
- in
- Diğer
- dahil
- Dahil olmak üzere
- indeks
- enfeksiyon
- ilk
- kurmak
- yükleme
- İstihbarat
- yönelik
- içine
- dahil
- IT
- jpg
- emek
- dil
- Diller
- katmanları
- meşru
- az
- seviyeleri
- Kaldıraç
- Kütüphane
- hayat
- sevmek
- Muhtemelen
- bakıyor
- Çok
- büyük
- yapmak
- kötü amaçlı yazılım
- çok
- malzemeler
- Mayıs..
- MFA
- hata
- Modern
- Daha
- çoğu
- motive
- hareket
- çok
- çoklu
- adlandırma
- gerek
- gerekli
- yok hayır
- notlar
- şimdi
- of
- teklifleri
- Teklifler
- resmi
- on
- bir Zamanlar
- ONE
- açık
- açık kaynak
- seçenek
- or
- kuruluşlar
- organizasyonlar
- Diğer
- dışarı
- tüm
- kendi
- paket
- paketler
- belirli
- Pivot
- Platon
- Plato Veri Zekası
- PlatoVeri
- Nokta
- belki
- potansiyel
- başkan
- önlemek
- Programlama
- Programlama dilleri
- Programlar
- proje
- Projeler
- çeken
- Itmek
- Python
- soru
- Sorular
- Gerçekten mi
- geçenlerde
- geri dönüşüm
- çıkarıldı
- Depo
- ün
- gerektirir
- Yer Alan Kurallar
- Araştırmacılar
- krallar gibi yaşamaya
- koşmak
- s
- daha güvenli
- Adı geçen
- söylemek
- diyor
- senaryolar
- güvenlik
- güvenlik belirteci
- görüldü
- seçme
- Oturum
- oturumları
- o
- işaret
- Gümüş
- beri
- yer
- Yazılım
- Kaynak
- kaynak kodu
- adım
- Basamaklar
- Yine
- dur
- böyle
- arz
- tedarik zinciri
- yüzey
- anahtar
- taktik
- Bizi daha iyi tanımak için
- devralma
- alma
- o
- The
- ve bazı Asya
- Onları
- sonra
- Orada.
- Bunlar
- Re-Tweet
- Bu
- tehdit
- tehdit aktörleri
- tehdit istihbaratı
- için
- simge
- Jeton
- araçlar
- sorun
- Güvenilir
- bilinmeyen
- kullanılabilir
- kullanım
- kullanım
- Kullanılmış
- kullanıcı
- kullanıcılar
- kullanma
- genellikle
- çeşitli
- Ve
- Karşı
- Başkan Yardımcısı
- Yol..
- yolları
- we
- Ne
- ne zaman
- hangi
- süre
- neden
- geniş ölçüde
- irade
- ile
- sözler
- İş
- değer
- olur
- yıl
- zefirnet