Офіційне сховище відкритого вихідного коду для мови програмування Python, Python Package Index (PyPI), вимагатиме від усіх облікових записів користувачів увімкнути двофакторну автентифікацію (2FA) до кінця 2023 року.
The security move may help prevent cyberattackers from compromising maintainer accounts and injecting malicious code into existing legitimate projects, but it's not a silver bullet when it comes to shoring up overall software supply chain security, researchers warn.
"Between now and the end of the year, PyPI will begin gating access to certain site functionality based on 2FA usage," explained PyPI administrator and maintainer Donald Stufft, in a останні публікації в блозі. "In addition, we may begin selecting certain users or projects for early enforcement."
Щоб реалізувати 2FA, супроводжувачі пакетів мають можливість використовувати маркер безпеки чи інший апаратний пристрій або програму автентифікації; і Stufft сказав, що користувачам рекомендується перейти на використання будь-якого з них PyPI's Trusted Publishers функцію або маркери API для завантаження коду в PyPI.
Stemming PyPI's Malicious Package Activity
Оголошення з’явилося на тлі низки атак кіберзлочинців, які прагнуть проникнути в різні програми та додатки за допомогою зловмисного програмного забезпечення, яке потім може бути широко поширене. Оскільки PyPI і інші репозиторії, такі як npm і GitHub містять будівельні блоки, які розробники використовують для створення цих пропозицій, компрометація їхнього вмісту є чудовим способом зробити це.
Дослідники кажуть, що 2FA зокрема (який GitHub також нещодавно реалізовано) допоможе запобігти захопленню облікового запису розробника, що є одним із способів зачепити програми зловмисниками.
«Ми бачили розпочато фішингові атаки against the project maintainers for commonly used PyPI packages that are intended to compromise those accounts," says Ashlee Benge, director of threat intelligence advocacy at ReversingLabs. "Once compromised, those accounts can easily be used to push malicious code to the PyPI project in question."
Одним із найбільш вірогідних сценаріїв початкового зараження може бути випадкова інсталяція розробником шкідливого пакета, наприклад, помилковий введення команди інсталяції Python, каже Дейв Трумен, віце-президент із кіберризиків Kroll.
"A lot of the malicious packages contain functionality for stealing credentials or browser session cookies and are coded to run on the malicious package being installed," he explains. "At this point, the malware would steal their credentials and sessions which could possibly include logins usable with PyPI. In other words … one developer could allow the actor to pivot to велика атака на ланцюг поставок depending on what that developer has access to — 2FA on PyPI would help stop the actor taking advantage of [that]."
Попереду ще багато роботи з безпеки ланцюга постачання програмного забезпечення
ReversingLabs' Benge notes that while PyPI's 2FA requirements are a step in the right direction, more security layers are needed to really lock down the software supply chain. That's because one of the most common ways that cybercriminals leverage software repositories is by завантаження власних шкідливих пакетів в надії обдурити розробників і втягнути їх у своє програмне забезпечення.
Зрештою, будь-хто може зареєструвати обліковий запис PyPI без запитань.
These efforts usually involve mundane social-engineering tactics, she says: "Типосквотінг є поширеним явищем — for example, naming a package 'djanga' (containing malicious code) versus 'django' (the legitimate and commonly used library)."
Another tactic is to hunt for abandoned projects to bring back to life. "A formerly benign project is abandoned, removed, and then repurposed for hosting malware, як із termcolour," she explains. This recycling approach offers malicious actors the benefit of using the former project's legitimate reputation to lure in developers.
"Adversaries are continually figuring out multiple ways to змусити розробників використовувати шкідливі пакети, which is why it's critical for Python and other programming languages with software repositories like PyPi to have a comprehensive software supply chain approach to security," says Javed Hasan, CEO and co-founder, Lineaje.
Крім того, є кілька способів перемогти 2FA, в тому числі зазначає Бендж Заміна SIM-карти, використання OIDC і викрадення сесії. Хоча вони, як правило, трудомісткі, мотивовані зловмисники все одно намагатимуться обійти MFA і, звичайно, 2FA, каже вона.
"Such attacks require much higher levels of engagement by attackers and many additional steps that will deter less motivated threat actors, but compromising an organization's supply chain offers a potentially huge payoff for threat actors, and many may decide that the extra effort is worth it," she says.
У той час як сховища вживають заходів, щоб зробити своє середовище безпечнішим, організації та розробники повинні вживати власних заходів обережності, радить Хасан.
"Organizations need modern supply chain tamper detection tools that help companies break down what's in their software and avoid deployment of unknown and dangerous components," he says. Also, efforts like специфікації програмного забезпечення (SBOMs) та управління поверхнею атаки може допомогти.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoAiStream. Web3 Data Intelligence. Розширення знань. Доступ тут.
- Карбування майбутнього з Адріенн Ешлі. Доступ тут.
- Купуйте та продавайте акції компаній, які вийшли на IPO, за допомогою PREIPO®. Доступ тут.
- джерело: https://www.darkreading.com/application-security/pypi-2fa-requirements-dont-go-far-enough
- : має
- :є
- : ні
- $UP
- 2023
- 2FA
- a
- доступ
- рахунки
- поглинання рахунку
- Рахунки
- актори
- доповнення
- Додатковий
- Перевага
- пропаганда
- проти
- ВСІ
- дозволяти
- Також
- посеред
- an
- та
- Оголошення
- будь
- API
- додаток
- підхід
- додатка
- ЕСТЬ
- навколо
- At
- нападки
- Authentication
- уникнути
- назад
- поганий
- заснований
- BE
- оскільки
- починати
- буття
- користь
- між
- Банкноти
- блоки
- Блог
- Перерва
- приносити
- браузер
- будувати
- Створюємо
- але
- by
- CAN
- Генеральний директор
- певний
- звичайно
- ланцюг
- Співзасновник
- код
- закодований
- приходить
- загальний
- зазвичай
- Компанії
- Компоненти
- всеосяжний
- компроміс
- Компрометація
- компрометуючі
- зміст
- безперестанку
- печиво
- може
- Повноваження
- критичний
- кіберзлочинці
- Небезпечний
- Дейв
- вирішувати
- Залежно
- розгортання
- Виявлення
- Розробник
- розробників
- пристрій
- напрям
- Директор
- Django
- do
- Дон
- Дональд
- вниз
- Рано
- легко
- зусилля
- зусилля
- або
- включіть
- заохочувати
- кінець
- примус
- зачеплення
- досить
- середовищах
- Ефір (ETH)
- приклад
- існуючий
- пояснені
- Пояснює
- експлуатація
- додатково
- далеко
- особливість
- для
- Колишній
- раніше
- від
- функціональність
- отримати
- GitHub
- Go
- великий
- апаратні засоби
- апаратний пристрій
- Мати
- he
- допомога
- вище
- гачки
- сподівається,
- хостинг
- будинок
- HTTPS
- величезний
- полювання
- здійснювати
- in
- В інших
- включати
- У тому числі
- індекс
- інфекція
- початковий
- встановлювати
- установка
- Інтелект
- призначених
- в
- залучати
- IT
- JPG
- праця
- мова
- мови
- шарів
- законний
- менше
- рівні
- Важіль
- бібліотека
- життя
- як
- Ймовірно
- шукати
- серія
- основний
- зробити
- шкідливих програм
- багато
- Матеріали
- Може..
- МЗС
- помилка
- сучасний
- більше
- найбільш
- мотивовані
- рухатися
- багато
- множинний
- іменування
- Необхідність
- необхідний
- немає
- примітки
- зараз
- of
- Пропозиції
- Пропозиції
- офіційний
- on
- один раз
- ONE
- відкрити
- з відкритим вихідним кодом
- варіант
- or
- організація
- організації
- Інше
- з
- загальний
- власний
- пакет
- пакети
- приватність
- Стрижень
- plato
- Інформація про дані Платона
- PlatoData
- точка
- можливо
- потенційно
- президент
- запобігати
- Програмування
- мови програмування
- програми
- проект
- проектів
- тягне
- Штовхати
- Python
- питання
- питань
- насправді
- нещодавно
- утилізації
- Вилучено
- Сховище
- репутація
- вимагати
- Вимога
- Дослідники
- право
- прогін
- s
- безпечніше
- Зазначений
- say
- говорить
- сценарії
- безпеку
- токен безпеки
- бачив
- вибирає
- Сесія
- сесіях
- вона
- підпис
- срібло
- з
- сайт
- Софтвер
- Source
- вихідні
- Крок
- заходи
- Як і раніше
- Стоп
- такі
- поставка
- ланцюжка поставок
- поверхню
- перемикач
- тактика
- Приймати
- поглинання
- взяття
- Що
- Команда
- їх
- Їх
- потім
- Там.
- Ці
- це
- ті
- загроза
- актори загроз
- інтелектуальна загроза
- до
- знак
- Жетони
- інструменти
- біда
- Довірений
- невідомий
- корисний
- Використання
- використання
- використовуваний
- користувач
- користувачі
- використання
- зазвичай
- різний
- Ve
- Проти
- Віцепрезидент
- шлях..
- способи
- we
- Що
- коли
- який
- в той час як
- чому
- широко
- волі
- з
- слова
- Work
- вартість
- б
- рік
- зефірнет