Python پروگرامنگ لینگویج کے لیے آفیشل اوپن سورس کوڈ ریپوزٹری، Python Package Index (PyPI) کو 2 کے آخر تک تمام صارف اکاؤنٹس کو ٹو فیکٹر توثیق (2023FA) کو فعال کرنے کی ضرورت ہوگی۔
The security move may help prevent cyberattackers from compromising maintainer accounts and injecting malicious code into existing legitimate projects, but it's not a silver bullet when it comes to shoring up overall software supply chain security, researchers warn.
"Between now and the end of the year, PyPI will begin gating access to certain site functionality based on 2FA usage," explained PyPI administrator and maintainer Donald Stufft, in a حالیہ بلاگ پوسٹنگ. "In addition, we may begin selecting certain users or projects for early enforcement."
2FA کو لاگو کرنے کے لیے، پیکیج مینٹینرز کے پاس سیکیورٹی ٹوکن یا دیگر ہارڈویئر ڈیوائس، یا ایک تصدیقی ایپ استعمال کرنے کا اختیار ہے۔ اور Stufft نے کہا کہ صارفین کی حوصلہ افزائی کی جاتی ہے کہ وہ دونوں میں سے کسی ایک کو استعمال کریں۔ PyPI's Trusted Publishers PyPI پر کوڈ اپ لوڈ کرنے کے لیے فیچر یا API ٹوکن۔
Stemming PyPI's Malicious Package Activity
یہ اعلان سائبر جرائم پیشہ افراد کے متعدد حملوں کے درمیان سامنے آیا ہے جو میلویئر کے ساتھ مختلف سافٹ ویئر پروگراموں اور ایپس میں گھسنا چاہتے ہیں جو اس کے بعد بڑے پیمانے پر پھیل سکتے ہیں۔ چونکہ PyPI اور دیگر ذخیرے جیسے npm اور GitHub میں بلڈنگ بلاکس ہیں جنہیں ڈویلپرز ان پیشکشوں کو بنانے کے لیے استعمال کرتے ہیں، ان کے مواد سے سمجھوتہ کرنا ایسا کرنے کا ایک بہترین طریقہ ہے۔
محققین کا کہنا ہے کہ خاص طور پر 2FA (جو GitHub نے بھی حال ہی میں لاگو کیا) ڈویلپر کے اکاؤنٹ پر قبضے کو روکنے میں مدد کرے گا، یہ ایک ایسا طریقہ ہے جس سے برے اداکار ایپس میں آ جاتے ہیں۔
"We've seen فشنگ حملے شروع کیے گئے۔ against the project maintainers for commonly used PyPI packages that are intended to compromise those accounts," says Ashlee Benge, director of threat intelligence advocacy at ReversingLabs. "Once compromised, those accounts can easily be used to push malicious code to the PyPI project in question."
کرول میں سائبر رسک کے نائب صدر ڈیو ٹرومین کا کہنا ہے کہ ابتدائی انفیکشن کے سب سے زیادہ ممکنہ منظرناموں میں سے ایک ڈویلپر غلطی سے ایک نقصان دہ پیکج انسٹال کرے گا، مثال کے طور پر، غلطی سے Python install کمانڈ ٹائپ کرنا۔
"A lot of the malicious packages contain functionality for stealing credentials or browser session cookies and are coded to run on the malicious package being installed," he explains. "At this point, the malware would steal their credentials and sessions which could possibly include logins usable with PyPI. In other words … one developer could allow the actor to pivot to ایک بڑا سپلائی چین حملہ depending on what that developer has access to — 2FA on PyPI would help stop the actor taking advantage of [that]."
مزید سافٹ ویئر سپلائی چین سیکیورٹی کا کام کرنا ہے۔
ReversingLabs' Benge notes that while PyPI's 2FA requirements are a step in the right direction, more security layers are needed to really lock down the software supply chain. That's because one of the most common ways that cybercriminals leverage software repositories is by ان کے اپنے بدنیتی پر مبنی پیکیجز اپ لوڈ کرنا ڈویلپرز کو دھوکہ دے کر انہیں اپنے سافٹ ویئر میں کھینچنے کی امید میں۔
سب کے بعد، کوئی بھی PyPI اکاؤنٹ کے لیے سائن اپ کر سکتا ہے، کوئی سوال نہیں پوچھا گیا۔
These efforts usually involve mundane social-engineering tactics, she says: "Typosquatting عام ہے — for example, naming a package 'djanga' (containing malicious code) versus 'django' (the legitimate and commonly used library)."
Another tactic is to hunt for abandoned projects to bring back to life. "A formerly benign project is abandoned, removed, and then repurposed for hosting malware, اصطلاحی رنگ کے ساتھ," she explains. This recycling approach offers malicious actors the benefit of using the former project's legitimate reputation to lure in developers.
"Adversaries are continually figuring out multiple ways to ڈویلپرز کو نقصان دہ پیکجز استعمال کرنے کے لیے حاصل کریں۔, which is why it's critical for Python and other programming languages with software repositories like PyPi to have a comprehensive software supply chain approach to security," says Javed Hasan, CEO and co-founder, Lineaje.
نیز، 2FA کو شکست دینے کے متعدد طریقے ہیں، Benge Notes، بشمول سم بدل رہی ہے، OIDC کا استحصال، اور سیشن ہائی جیکنگ۔ وہ کہتی ہیں کہ اگرچہ یہ زیادہ محنتی ہوتے ہیں، لیکن حوصلہ افزائی کرنے والے حملہ آور اب بھی MFA اور یقینی طور پر 2FA کے ارد گرد کام کرنے کی کوشش کرنے کی پریشانی کا شکار ہوں گے۔
"Such attacks require much higher levels of engagement by attackers and many additional steps that will deter less motivated threat actors, but compromising an organization's supply chain offers a potentially huge payoff for threat actors, and many may decide that the extra effort is worth it," she says.
حسن کا مشورہ ہے کہ جہاں ذخیرہ گاہیں اپنے ماحول کو محفوظ بنانے کے لیے اقدامات کرتی ہیں، تنظیموں اور ڈویلپرز کو اپنی احتیاطی تدابیر اختیار کرنے کی ضرورت ہے۔
"Organizations need modern supply chain tamper detection tools that help companies break down what's in their software and avoid deployment of unknown and dangerous components," he says. Also, efforts like مواد کے سافٹ ویئر بلز (SBOMs) اور حملہ سطح کی انتظامیہ مدد کرسکتے ہیں.
- SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
- پلیٹوآئ اسٹریم۔ ویب 3 ڈیٹا انٹیلی جنس۔ علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
- ایڈریین ایشلے کے ساتھ مستقبل کا نقشہ بنانا۔ یہاں تک رسائی حاصل کریں۔
- PREIPO® کے ساتھ PRE-IPO کمپنیوں میں حصص خریدیں اور بیچیں۔ یہاں تک رسائی حاصل کریں۔
- ماخذ: https://www.darkreading.com/application-security/pypi-2fa-requirements-dont-go-far-enough
- : ہے
- : ہے
- : نہیں
- $UP
- 2023
- 2FA
- a
- تک رسائی حاصل
- اکاؤنٹ
- اکاؤنٹ قبضہ
- اکاؤنٹس
- اداکار
- اس کے علاوہ
- ایڈیشنل
- فائدہ
- وکالت
- کے خلاف
- تمام
- کی اجازت
- بھی
- کے درمیان
- an
- اور
- اعلان
- کسی
- اے پی آئی
- اپلی کیشن
- نقطہ نظر
- ایپس
- کیا
- ارد گرد
- At
- حملے
- کی توثیق
- سے اجتناب
- واپس
- برا
- کی بنیاد پر
- BE
- کیونکہ
- شروع کریں
- کیا جا رہا ہے
- فائدہ
- کے درمیان
- بل
- بلاکس
- بلاگ
- توڑ
- لانے
- براؤزر
- تعمیر
- عمارت
- لیکن
- by
- کر سکتے ہیں
- سی ای او
- کچھ
- یقینی طور پر
- چین
- شریک بانی
- کوڈ
- کوڈڈ
- آتا ہے
- کامن
- عام طور پر
- کمپنیاں
- اجزاء
- وسیع
- سمجھوتہ
- سمجھوتہ کیا
- سمجھوتہ
- مندرجات
- مسلسل
- کوکیز
- سکتا ہے
- اسناد
- اہم
- cybercriminals
- خطرناک
- ڈیو
- فیصلہ کرنا
- منحصر ہے
- تعیناتی
- کھوج
- ڈیولپر
- ڈویلپرز
- آلہ
- سمت
- ڈائریکٹر
- جیانگو
- do
- ڈان
- ڈونالڈ
- نیچے
- ابتدائی
- آسانی سے
- کوشش
- کوششوں
- یا تو
- کو چالو کرنے کے
- حوصلہ افزائی
- آخر
- نافذ کرنے والے
- مصروفیت
- کافی
- ماحول
- Ether (ETH)
- مثال کے طور پر
- موجودہ
- وضاحت کی
- بیان کرتا ہے
- استحصال
- اضافی
- دور
- نمایاں کریں
- کے لئے
- سابق
- پہلے
- سے
- فعالیت
- حاصل
- GitHub کے
- Go
- عظیم
- ہارڈ ویئر
- ہارڈ ویئر ڈیوائس
- ہے
- he
- مدد
- اعلی
- ہکس
- امید ہے
- ہوسٹنگ
- ہاؤس
- HTTPS
- بھاری
- شکار
- پر عملدرآمد
- in
- دیگر میں
- شامل
- سمیت
- انڈکس
- انفیکشن
- ابتدائی
- انسٹال
- انسٹال کرنا
- انٹیلی جنس
- ارادہ
- میں
- شامل
- IT
- فوٹو
- لیبر
- زبان
- زبانیں
- تہوں
- جائز
- کم
- سطح
- لیوریج
- لائبریری
- زندگی
- کی طرح
- امکان
- تلاش
- بہت
- اہم
- بنا
- میلویئر
- بہت سے
- مواد
- مئی..
- MFA
- غلطی
- جدید
- زیادہ
- سب سے زیادہ
- حوصلہ افزائی
- منتقل
- بہت
- ایک سے زیادہ
- نام
- ضرورت ہے
- ضرورت
- نہیں
- نوٹس
- اب
- of
- پیشکشیں
- تجویز
- سرکاری
- on
- ایک بار
- ایک
- کھول
- اوپن سورس
- اختیار
- or
- تنظیم
- تنظیمیں
- دیگر
- باہر
- مجموعی طور پر
- خود
- پیکج
- پیکجوں کے
- خاص طور پر
- محور
- پلاٹا
- افلاطون ڈیٹا انٹیلی جنس
- پلیٹو ڈیٹا
- پوائنٹ
- ممکنہ طور پر
- ممکنہ طور پر
- صدر
- کی روک تھام
- پروگرامنگ
- پروگرامنگ زبانوں
- پروگرام
- منصوبے
- منصوبوں
- ھیںچو
- پش
- ازگر
- سوال
- سوالات
- واقعی
- حال ہی میں
- ری سائیکلنگ
- ہٹا دیا گیا
- ذخیرہ
- شہرت
- کی ضرورت
- ضروریات
- محققین
- ٹھیک ہے
- رن
- s
- محفوظ
- کہا
- کا کہنا ہے کہ
- کا کہنا ہے کہ
- منظرنامے
- سیکورٹی
- سیکورٹی ٹوکن
- دیکھا
- منتخب
- اجلاس
- سیشن
- وہ
- سائن ان کریں
- سلور
- بعد
- سائٹ
- سافٹ ویئر کی
- ماخذ
- ماخذ کوڈ
- مرحلہ
- مراحل
- ابھی تک
- بند کرو
- اس طرح
- فراہمی
- فراہمی کا سلسلہ
- سطح
- سوئچ کریں
- حکمت عملی
- لے لو
- قبضے
- لینے
- کہ
- ۔
- ان
- ان
- تو
- وہاں.
- یہ
- اس
- ان
- خطرہ
- دھمکی دینے والے اداکار
- خطرہ انٹیلی جنس
- کرنے کے لئے
- ٹوکن
- ٹوکن
- اوزار
- مصیبت
- قابل اعتماد
- نامعلوم
- استعمال کے قابل
- استعمال
- استعمال کی شرائط
- استعمال کیا جاتا ہے
- رکن کا
- صارفین
- کا استعمال کرتے ہوئے
- عام طور پر
- مختلف
- Ve
- بنام
- نائب صدر
- راستہ..
- طریقوں
- we
- کیا
- جب
- جس
- جبکہ
- کیوں
- بڑے پیمانے پر
- گے
- ساتھ
- الفاظ
- کام
- قابل
- گا
- سال
- زیفیرنیٹ