Python 编程语言的官方开源代码存储库 Python 包索引 (PyPI) 将要求所有用户帐户在 2 年底之前启用双因素身份验证 (2023FA)。
研究人员警告说,这一安全举措可能有助于防止网络攻击者破坏维护者帐户并向现有合法项目注入恶意代码,但在支持整体软件供应链安全方面,这并不是灵丹妙药。
“从现在到今年年底,PyPI 将开始根据 2FA 使用情况限制对某些站点功能的访问,”PyPI 管理员兼维护人员 Donald Stufft 在一份报告中解释道。 最近的博文。 “此外,我们可能会开始选择某些用户或项目进行早期执行。”
为了实施 2FA,包维护者可以选择使用安全令牌或其他硬件设备,或身份验证应用程序; Stufft 表示,鼓励用户切换到使用 PyPI 值得信赖的出版商 功能或 API 令牌将代码上传到 PyPI。
阻止 PyPI 的恶意软件包活动
该公告发布之际,网络犯罪分子发起了一系列攻击,他们希望用恶意软件渗透到各种软件程序和应用程序中,然后这些恶意软件可以继续广泛传播。 由于 PyPI 和 其他存储库,如 npm GitHub 包含开发人员用来构建这些产品的构建块,破坏其内容是实现这一目标的好方法。
研究人员说,特别是 2FA( GitHub 最近也实现了) 将有助于防止开发者帐户接管,这是不良行为者进入应用程序的一种方式。
“我们见过 发起网络钓鱼攻击 ReversingLabs 威胁情报倡导总监 Ashlee Benge 表示:“针对常用 PyPI 软件包的项目维护者,这些软件包旨在危害这些帐户。一旦受到危害,这些帐户就可以轻松地被用来将恶意代码推送到相关 PyPI 项目中。” ”。
Kroll 网络风险副总裁戴夫·杜鲁门 (Dave Truman) 说,最初感染最有可能发生的情况之一是开发人员不小心安装了恶意软件包,例如,错误地输入了 Python 安装命令。
“许多恶意软件包都包含窃取凭据或浏览器会话 cookie 的功能,并经过编码以在正在安装的恶意软件包上运行,”他解释道。 “此时,恶意软件将窃取他们的凭据和会话,其中可能包括可用于 PyPI 的登录信息。换句话说……一名开发人员可能允许攻击者转向 一次重大的供应链攻击 取决于开发人员可以访问的内容 - PyPI 上的 2FA 将有助于阻止攻击者利用[该]。”
更多软件供应链安全工作要做
ReversingLabs 的 Benge 指出,虽然 PyPI 的 2FA 要求是朝着正确方向迈出的一步,但需要更多的安全层才能真正锁定软件供应链。这是因为网络犯罪分子利用软件存储库的最常见方式之一是 上传自己的恶意包 希望欺骗开发人员将他们拉入他们的软件。
毕竟,任何人都可以注册 PyPI 帐户,没有任何问题。
她说,这些努力通常涉及普通的社会工程策略:“域名盗用很常见 — 例如,将包命名为“djanga”(包含恶意代码)与“django”(合法且常用的库)。”
另一种策略是寻找废弃的项目以使其重新焕发活力。 “一个以前良性的项目被放弃、删除,然后重新用于托管恶意软件, 像 termcolour她解释道。这种回收方法为恶意行为者提供了利用前一个项目的合法声誉来吸引开发人员的好处。
“对手不断想出多种方法 让开发人员使用恶意包,这就是为什么对于 Python 和其他具有软件存储库(如 PyPi)的编程语言来说,拥有全面的软件供应链安全方法至关重要。”Lineaje 首席执行官兼联合创始人 Javed Hasan 说道。
此外,还有多种方法可以击败 2FA,Benge 指出,包括 SIM交换、OIDC 利用和会话劫持。 她说,虽然这些往往是劳动密集型的,但有动机的攻击者仍然会不厌其烦地尝试绕过 MFA,当然还有 2FA。
“此类攻击需要攻击者进行更高水平的参与,并采取许多额外措施来阻止动机较弱的威胁行为者,但损害组织的供应链为威胁行为者提供了潜在的巨大回报,许多人可能会认为额外的努力是值得的, “ 她说。
Hasan 建议,在存储库采取措施使其环境更安全的同时,组织和开发人员需要采取自己的预防措施。
“组织需要现代供应链篡改检测工具来帮助公司分解其软件中的内容并避免部署未知和危险的组件,”他说。此外,诸如此类的努力 软件物料清单 (SBOM) 和 攻击面管理 可以提供帮助。
- SEO 支持的内容和 PR 分发。 今天得到放大。
- 柏拉图爱流。 Web3 数据智能。 知识放大。 访问这里。
- 与 Adryenn Ashley 一起铸造未来。 访问这里。
- 使用 PREIPO® 买卖 PRE-IPO 公司的股票。 访问这里。
- Sumber: https://www.darkreading.com/application-security/pypi-2fa-requirements-dont-go-far-enough
- :具有
- :是
- :不是
- $UP
- 2023
- 2FA
- a
- ACCESS
- 账号管理
- 帐户接管
- 账户
- 演员
- 增加
- 额外
- 优点
- 鼓吹
- 驳
- 所有类型
- 让
- 还
- 烟雨
- an
- 和
- 公告
- 任何人
- API
- 应用
- 的途径
- 应用
- 保健
- 围绕
- At
- 攻击
- 认证
- 避免
- 背部
- 坏
- 基于
- BE
- 因为
- 开始
- 作为
- 得益
- 之间
- 票据
- 吹氣梢
- 博客
- 午休
- 带来
- 浏览器
- 建立
- 建筑物
- 但是
- by
- CAN
- CEO
- 一定
- 当然
- 链
- 联合创始人
- 码
- 编码
- 购买的订单均
- 相当常见
- 常用
- 公司
- 组件
- 全面
- 妥协
- 妥协
- 折中
- Contents
- 不断
- 曲奇饼
- 可以
- 资历
- 危急
- 网络罪犯
- 危险的
- 戴夫
- 决定
- 根据
- 部署
- 检测
- 开发商
- 开发
- 设备
- 方向
- 副总经理
- Django的
- do
- 不
- 唐纳德
- 向下
- 早
- 容易
- 努力
- 工作的影响。
- 或
- enable
- 鼓励
- 结束
- 强制
- 订婚
- 更多
- 环境中
- 醚(ETH)
- 例子
- 现有
- 解释
- 介绍
- 开发
- 额外
- 远
- 专栏
- 针对
- 前
- 以前
- 止
- 功能
- 得到
- GitHub上
- Go
- 大
- 硬件
- 硬件设备
- 有
- he
- 帮助
- 更高
- 钩
- 希望
- 托管
- 别墅
- HTTPS
- 巨大
- 狩猎
- 实施
- in
- 其他
- 包括
- 包含
- 指数
- 感染
- 初始
- 安装
- 安装
- 房源搜索
- 拟
- 成
- 涉及
- IT
- JPG
- 劳工
- 语言
- 语言
- 层
- 合法
- 减
- 各级
- 杠杆作用
- 自学资料库
- 生活
- 喜欢
- 容易
- 寻找
- 占地
- 主要
- 使
- 恶意软件
- 许多
- 物料
- 可能..
- 外交部
- 错误
- 现代
- 更多
- 最先进的
- 动机
- 移动
- 许多
- 多
- 命名
- 需求
- 打印车票
- 没有
- 现在
- of
- 供品
- 优惠精选
- 官方
- on
- 一旦
- 一
- 打开
- 开放源码
- 附加选项
- or
- 组织
- 组织
- 其他名称
- 输出
- 最划算
- 己
- 包
- 包
- 特别
- 枢
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 点
- 或者
- 可能
- 总统
- 防止
- 代码编程
- 编程语言
- 训练课程
- 项目
- 项目
- 拉
- 推
- 蟒蛇
- 题
- 有疑问吗?
- 真
- 最近
- 回收
- 去除
- 知识库
- 声誉
- 要求
- 岗位要求
- 研究人员
- 右
- 运行
- s
- 更安全
- 说
- 对工资盗窃
- 说
- 情景
- 保安
- 安全令牌
- 看到
- 选择
- 会议
- 招生面试
- 她
- 签署
- 白银
- 自
- 网站
- 软件
- 来源
- 源代码
- 步
- 步骤
- 仍
- Stop 停止
- 这样
- 供应
- 供应链
- 磁化面
- Switch 开关
- 策略
- 采取
- 收购
- 服用
- 这
- 其
- 他们
- 然后
- 那里。
- 博曼
- Free Introduction
- 那些
- 威胁
- 威胁者
- 威胁情报
- 至
- 象征
- 令牌
- 工具
- 麻烦
- 信任
- 不明
- 可用
- 用法
- 使用
- 用过的
- 用户
- 用户
- 运用
- 平时
- 各个
- Ve
- 与
- 副总裁
- 方法..
- 方法
- we
- 什么是
- ,尤其是
- 这
- 而
- 为什么
- 广泛
- 将
- 话
- 工作
- 价值
- 将
- 年
- 和风网