Kho lưu trữ mã nguồn mở chính thức cho ngôn ngữ lập trình Python, Python Package Index (PyPI), sẽ yêu cầu tất cả tài khoản người dùng kích hoạt xác thực hai yếu tố (2FA) vào cuối năm 2023.
The security move may help prevent cyberattackers from compromising maintainer accounts and injecting malicious code into existing legitimate projects, but it's not a silver bullet when it comes to shoring up overall software supply chain security, researchers warn.
"Between now and the end of the year, PyPI will begin gating access to certain site functionality based on 2FA usage," explained PyPI administrator and maintainer Donald Stufft, in a đăng blog gần đây. "In addition, we may begin selecting certain users or projects for early enforcement."
Để triển khai 2FA, người bảo trì gói có tùy chọn sử dụng mã thông báo bảo mật hoặc thiết bị phần cứng khác hoặc ứng dụng xác thực; và Stufft nói rằng người dùng được khuyến khích chuyển sang sử dụng một trong hai PyPI's Trusted Publishers tính năng hoặc mã thông báo API để tải mã lên PyPI.
Stemming PyPI's Malicious Package Activity
Thông báo được đưa ra trong bối cảnh hàng loạt cuộc tấn công của tội phạm mạng đang tìm cách xâm nhập vào các chương trình và ứng dụng phần mềm khác nhau bằng phần mềm độc hại mà sau đó có thể được phổ biến rộng rãi. Vì PyPI và các kho lưu trữ khác như npm và GitHub chứa các khối xây dựng mà các nhà phát triển sử dụng để xây dựng các dịch vụ đó, thỏa hiệp nội dung của họ là một cách tuyệt vời để làm điều đó.
Các nhà nghiên cứu nói rằng 2FA nói riêng (mà GitHub cũng được triển khai gần đây) sẽ giúp ngăn chặn hành vi chiếm đoạt tài khoản của nhà phát triển, đây là một cách mà những kẻ xấu lợi dụng để lôi kéo họ vào ứng dụng.
"Chúng tôi đã thấy các cuộc tấn công lừa đảo được phát động against the project maintainers for commonly used PyPI packages that are intended to compromise those accounts," says Ashlee Benge, director of threat intelligence advocacy at ReversingLabs. "Once compromised, those accounts can easily be used to push malicious code to the PyPI project in question."
Dave Truman, phó chủ tịch phụ trách rủi ro mạng tại Kroll, cho biết một trong những tình huống lây nhiễm ban đầu rất có thể xảy ra là nhà phát triển vô tình cài đặt gói độc hại, chẳng hạn như gõ nhầm lệnh cài đặt Python.
"A lot of the malicious packages contain functionality for stealing credentials or browser session cookies and are coded to run on the malicious package being installed," he explains. "At this point, the malware would steal their credentials and sessions which could possibly include logins usable with PyPI. In other words … one developer could allow the actor to pivot to một cuộc tấn công chuỗi cung ứng lớn depending on what that developer has access to — 2FA on PyPI would help stop the actor taking advantage of [that]."
Thêm công việc bảo mật chuỗi cung ứng phần mềm cần làm
ReversingLabs' Benge notes that while PyPI's 2FA requirements are a step in the right direction, more security layers are needed to really lock down the software supply chain. That's because one of the most common ways that cybercriminals leverage software repositories is by tải lên các gói độc hại của riêng họ với hy vọng lừa được các nhà phát triển kéo họ vào phần mềm của họ.
Xét cho cùng, bất kỳ ai cũng có thể đăng ký tài khoản PyPI mà không cần đặt câu hỏi.
These efforts usually involve mundane social-engineering tactics, she says: "Typosquatting là phổ biến — for example, naming a package 'djanga' (containing malicious code) versus 'django' (the legitimate and commonly used library)."
Another tactic is to hunt for abandoned projects to bring back to life. "A formerly benign project is abandoned, removed, and then repurposed for hosting malware, thích với termcolor," she explains. This recycling approach offers malicious actors the benefit of using the former project's legitimate reputation to lure in developers.
"Adversaries are continually figuring out multiple ways to khiến các nhà phát triển sử dụng các gói độc hại, which is why it's critical for Python and other programming languages with software repositories like PyPi to have a comprehensive software supply chain approach to security," says Javed Hasan, CEO and co-founder, Lineaje.
Ngoài ra, có nhiều cách để đánh bại 2FA, Benge lưu ý, bao gồm Trao đổi SIM, khai thác OIDC và chiếm quyền điều khiển phiên. Mặc dù những điều này có xu hướng tốn nhiều công sức, nhưng những kẻ tấn công có động cơ vẫn sẽ gặp khó khăn khi cố gắng làm việc xung quanh MFA và chắc chắn là 2FA, cô ấy nói.
"Such attacks require much higher levels of engagement by attackers and many additional steps that will deter less motivated threat actors, but compromising an organization's supply chain offers a potentially huge payoff for threat actors, and many may decide that the extra effort is worth it," she says.
Mặc dù các kho lưu trữ thực hiện các bước để làm cho môi trường của họ an toàn hơn, nhưng các tổ chức và nhà phát triển cần phải thực hiện các biện pháp phòng ngừa của riêng họ, Hasan khuyên.
"Organizations need modern supply chain tamper detection tools that help companies break down what's in their software and avoid deployment of unknown and dangerous components," he says. Also, efforts like hóa đơn nguyên vật liệu phần mềm (SBOMs) và quản lý bề mặt tấn công có thể giúp đỡ.
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoAiStream. Thông minh dữ liệu Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Đúc kết tương lai với Adryenn Ashley. Truy cập Tại đây.
- Mua và bán cổ phần trong các công ty PRE-IPO với PREIPO®. Truy cập Tại đây.
- nguồn: https://www.darkreading.com/application-security/pypi-2fa-requirements-dont-go-far-enough
- : có
- :là
- :không phải
- $ LÊN
- 2023
- 2FA
- a
- truy cập
- Tài khoản
- tiếp quản tài khoản
- Trợ Lý Giám Đốc
- diễn viên
- Ngoài ra
- thêm vào
- Lợi thế
- vận động
- chống lại
- Tất cả
- cho phép
- Ngoài ra
- giữa
- an
- và
- Thông báo
- bất kỳ ai
- api
- ứng dụng
- phương pháp tiếp cận
- ứng dụng
- LÀ
- xung quanh
- At
- Các cuộc tấn công
- Xác thực
- tránh
- trở lại
- Bad
- dựa
- BE
- bởi vì
- bắt đầu
- được
- hưởng lợi
- giữa
- Hóa đơn
- Khối
- Blog
- Nghỉ giải lao
- mang lại
- trình duyệt
- xây dựng
- Xây dựng
- nhưng
- by
- CAN
- giám đốc điều hành
- nhất định
- chắc chắn
- chuỗi
- Đồng sáng lập
- mã
- mã hóa
- đến
- Chung
- thông thường
- Các công ty
- các thành phần
- toàn diện
- thỏa hiệp
- Thỏa hiệp
- ảnh hưởng
- nội dung
- liên tục
- bánh quy
- có thể
- Credentials
- quan trọng
- tội phạm mạng
- Nguy hiểm
- Dave
- quyết định
- Tùy
- triển khai
- Phát hiện
- Nhà phát triển
- phát triển
- thiết bị
- hướng
- Giám đốc
- Django
- do
- don
- donald
- xuống
- Đầu
- dễ dàng
- nỗ lực
- những nỗ lực
- hay
- cho phép
- khuyến khích
- cuối
- thực thi
- Tham gia
- đủ
- môi trường
- Ether (ETH)
- ví dụ
- hiện tại
- Giải thích
- Giải thích
- khai thác
- thêm
- xa
- Đặc tính
- Trong
- Cựu
- trước kia
- từ
- chức năng
- được
- GitHub
- Go
- tuyệt vời
- phần cứng
- thiết bị phần cứng
- Có
- he
- giúp đỡ
- cao hơn
- Hooks
- hy vọng
- lưu trữ
- House
- HTTPS
- lớn
- săn
- thực hiện
- in
- Mặt khác
- bao gồm
- Bao gồm
- chỉ số
- nhiễm trùng
- ban đầu
- cài đặt, dựng lên
- Cài đặt
- Sự thông minh
- dự định
- trong
- liên quan
- IT
- jpg
- nhân công
- Ngôn ngữ
- Ngôn ngữ
- lớp
- hợp pháp
- ít
- niveaux
- Tỉ lệ đòn bẩy
- Thư viện
- Cuộc sống
- Lượt thích
- Có khả năng
- tìm kiếm
- Rất nhiều
- chính
- làm cho
- phần mềm độc hại
- nhiều
- nguyên vật liệu
- Có thể..
- MFA
- sai lầm
- hiện đại
- chi tiết
- hầu hết
- động cơ
- di chuyển
- nhiều
- nhiều
- đặt tên
- Cần
- cần thiết
- Không
- Chú ý
- tại
- of
- Cung cấp
- Cung cấp
- chính thức
- on
- hàng loạt
- ONE
- mở
- mã nguồn mở
- Tùy chọn
- or
- cơ quan
- tổ chức
- Nền tảng khác
- ra
- tổng thể
- riêng
- gói
- gói
- riêng
- Trục
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- Điểm
- có thể
- có khả năng
- Chủ tịch
- ngăn chặn
- Lập trình
- ngôn ngữ lập trình
- Khóa Học
- dự án
- dự án
- kéo
- Đẩy
- Python
- câu hỏi
- Câu hỏi
- có thật không
- gần đây
- tái chế
- Đã loại bỏ
- kho
- danh tiếng
- yêu cầu
- Yêu cầu
- nhà nghiên cứu
- ngay
- chạy
- s
- an toàn hơn
- Nói
- nói
- nói
- kịch bản
- an ninh
- thẻ bảo mật
- đã xem
- lựa chọn
- Phiên
- phiên
- chị ấy
- đăng ký
- Gói Bạc
- kể từ khi
- website
- Phần mềm
- nguồn
- mã nguồn
- Bước
- Các bước
- Vẫn còn
- Dừng
- như vậy
- cung cấp
- chuỗi cung ứng
- Bề mặt
- Công tắc điện
- chiến thuật
- Hãy
- tiếp quản
- dùng
- việc này
- Sản phẩm
- cung cấp their dịch
- Them
- sau đó
- Đó
- Kia là
- điều này
- những
- mối đe dọa
- diễn viên đe dọa
- mối đe dọa tình báo
- đến
- mã thông báo
- Tokens
- công cụ
- rắc rối
- đáng tin cậy
- không xác định
- có thể dùng được
- Sử dụng
- sử dụng
- đã sử dụng
- người sử dang
- Người sử dụng
- sử dụng
- thường
- khác nhau
- Ve
- Versus
- Phó Chủ Tịch
- Đường..
- cách
- we
- Điều gì
- khi nào
- cái nào
- trong khi
- tại sao
- rộng rãi
- sẽ
- với
- từ
- Công việc
- giá trị
- sẽ
- năm
- zephyrnet