Python 프로그래밍 언어의 공식 오픈 소스 코드 리포지토리인 PyPI(Python Package Index)는 2년 말까지 모든 사용자 계정에서 2023단계 인증(XNUMXFA)을 활성화해야 합니다.
보안 조치는 사이버 공격자가 관리자 계정을 손상시키고 기존의 합법적인 프로젝트에 악성 코드를 주입하는 것을 방지하는 데 도움이 될 수 있지만 전체 소프트웨어 공급망 보안을 강화하는 데 있어 만병통치약은 아니라고 연구원들은 경고합니다.
PyPI 관리자이자 관리자인 Donald Stufft는 "지금부터 연말까지 PyPI는 2FA 사용을 기반으로 특정 사이트 기능에 대한 액세스를 제한하기 시작할 것입니다."라고 설명했습니다. 최근 블로그 게시. "또한 조기 시행을 위해 특정 사용자 또는 프로젝트를 선택하기 시작할 수 있습니다."
2FA를 구현하기 위해 패키지 관리자는 보안 토큰이나 기타 하드웨어 장치 또는 인증 앱을 사용할 수 있습니다. Stufft는 사용자가 다음 중 하나를 사용하도록 전환하도록 권장한다고 말했습니다. PyPI의 신뢰할 수 있는 게시자 PyPI에 코드를 업로드하기 위한 기능 또는 API 토큰.
PyPI의 악성 패키지 활동 형태소 분석
이번 발표는 다양한 소프트웨어 프로그램과 앱에 맬웨어를 침투시켜 널리 퍼뜨리려는 사이버 범죄자들의 수많은 공격 가운데 나온 것입니다. PyPI 이후 npm과 같은 다른 저장소 GitHub에는 개발자가 이러한 제품을 구축하는 데 사용하는 빌딩 블록이 있으므로 콘텐츠를 손상시키는 것이 좋은 방법입니다.
연구원들은 특히 2FA( GitHub도 최근에 구현되었습니다.)는 개발자 계정 탈취를 방지하는 데 도움이 됩니다. 이는 악의적인 사용자가 앱에 연결하는 한 가지 방법입니다.
“우리는 보았다. 피싱 공격 개시 ReversingLabs의 위협 인텔리전스 옹호 책임자인 Ashlee Benge는 "해당 계정을 손상시키려는 의도로 일반적으로 사용되는 PyPI 패키지에 대한 프로젝트 유지 관리자를 상대로 합니다. "손상되면 해당 계정을 쉽게 사용하여 해당 PyPI 프로젝트에 악성 코드를 푸시할 수 있습니다."
가장 가능성이 높은 초기 감염 시나리오 중 하나는 실수로 Python 설치 명령을 입력하는 것과 같이 개발자가 실수로 악성 패키지를 설치하는 것이라고 Kroll의 사이버 위험 부사장인 Dave Truman은 말합니다.
"많은 악성 패키지에는 자격 증명이나 브라우저 세션 쿠키를 훔치는 기능이 포함되어 있으며 설치 중인 악성 패키지에서 실행되도록 코딩되어 있습니다."라고 그는 설명합니다. “이 시점에서 멀웨어는 PyPI에서 사용할 수 있는 로그인을 포함할 수 있는 자격 증명과 세션을 훔칩니다. 다시 말해 ... 한 개발자가 액터가 대규모 공급망 공격 개발자가 무엇에 액세스할 수 있는지에 따라 — PyPI의 2FA는 행위자가 [저것]을 이용하는 것을 막는 데 도움이 될 것입니다.”
더 많은 소프트웨어 공급망 보안 작업 수행
ReversingLabs의 Benge는 PyPI의 2FA 요구 사항이 올바른 방향으로 나아가는 단계이지만 소프트웨어 공급망을 실제로 잠그려면 더 많은 보안 계층이 필요하다고 말합니다. 사이버 범죄자가 소프트웨어 리포지토리를 활용하는 가장 일반적인 방법 중 하나는 다음과 같습니다. 자신의 악성 패키지 업로드 개발자를 속여 소프트웨어로 끌어들이기를 바랍니다.
결국 누구나 질문 없이 PyPI 계정에 가입할 수 있습니다.
이러한 노력에는 일반적으로 일상적인 사회 공학 전술이 포함된다고 그녀는 말합니다.타이포스쿼팅은 흔한 일입니다 — 예를 들어 패키지 이름을 'djanga'(악성 코드 포함)와 'django'(적법하고 일반적으로 사용되는 라이브러리)로 지정합니다.”
또 다른 전략은 버려진 프로젝트를 찾아 다시 되살리는 것입니다. “이전에는 순조롭던 프로젝트가 폐기되고 제거된 다음 맬웨어 호스팅을 위해 용도가 변경됩니다. 텀컬러와 마찬가지로”라고 그녀는 설명합니다. 이 재활용 접근 방식은 악의적인 행위자에게 이전 프로젝트의 정당한 평판을 사용하여 개발자를 유인할 수 있는 이점을 제공합니다.
“적들은 지속적으로 여러 가지 방법을 알아내고 있습니다. 개발자가 악성 패키지를 사용하도록 유도그렇기 때문에 PyPi와 같은 소프트웨어 리포지토리가 있는 Python 및 기타 프로그래밍 언어가 보안에 대한 포괄적인 소프트웨어 공급망 접근 방식을 갖는 것이 중요합니다.”라고 Lineaje의 CEO 겸 공동 설립자인 Javed Hasan은 말합니다.
또한 2FA를 물리치는 방법에는 여러 가지가 있습니다. Benge는 다음을 포함합니다. SIM 스와핑, OIDC 악용 및 세션 하이재킹. 이들은 노동 집약적인 경향이 있지만 동기 부여된 공격자들은 여전히 MFA와 확실히 2FA를 피해가는 데 어려움을 겪을 것이라고 그녀는 말했습니다.
"이러한 공격에는 공격자의 훨씬 더 높은 수준의 참여와 동기가 덜한 위협 행위자를 저지할 많은 추가 단계가 필요하지만 조직의 공급망을 손상시키는 것은 잠재적으로 위협 행위자에게 막대한 보상을 제공하며 많은 사람들이 추가 노력이 가치가 있다고 결정할 수 있습니다. " 그녀는 말한다.
리포지토리가 환경을 더 안전하게 만들기 위한 조치를 취하는 동안 조직과 개발자는 자체 예방 조치를 취해야 한다고 Hasan은 조언합니다.
"조직에는 소프트웨어에 포함된 내용을 분석하고 알려지지 않은 위험한 구성 요소의 배포를 방지하는 데 도움이 되는 최신 공급망 변조 감지 도구가 필요합니다."라고 그는 말합니다. 또한 다음과 같은 노력 소프트웨어 재료 명세서(SBOM) 과 공격 표면 관리 그러나 권한을 얻는 것은 제작자와 사용자 모두에게 시간이 많이 걸리고 복잡할 수 있으며 크리에이티브 커먼즈 라이선스가 이를 해결할 수 있다.
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- PlatoAiStream. Web3 데이터 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 미래 만들기 w Adryenn Ashley. 여기에서 액세스하십시오.
- PREIPO®로 PRE-IPO 회사의 주식을 사고 팔 수 있습니다. 여기에서 액세스하십시오.
- 출처: https://www.darkreading.com/application-security/pypi-2fa-requirements-dont-go-far-enough
