Официальный репозиторий с открытым исходным кодом для языка программирования Python, Python Package Index (PyPI), потребует, чтобы все учетные записи пользователей включали двухфакторную аутентификацию (2FA) к концу 2023 года.
Меры безопасности могут помочь предотвратить взлом учетных записей сопровождающих и внедрение вредоносного кода в существующие законные проекты со стороны кибератак, но исследователи предупреждают, что это не панацея, когда речь идет об укреплении общей безопасности цепочки поставок программного обеспечения.
«С этого момента и до конца года PyPI начнет блокировать доступ к определенным функциям сайта на основе использования 2FA», — объяснил администратор и сопровождающий PyPI Дональд Стаффт в своем отчете. недавнее сообщение в блоге. «Кроме того, мы можем начать выбирать определенных пользователей или проекты для досрочного применения».
Для реализации 2FA у сопровождающих пакетов есть возможность использовать токен безопасности или другое аппаратное устройство или приложение для аутентификации; и Стаффт сказал, что пользователям рекомендуется переключиться на использование либо Доверенные издатели PyPI функции или токены API для загрузки кода в PyPI.
Блокирование активности вредоносных пакетов PyPI
Объявление было сделано на фоне множества атак киберпреступников, стремящихся внедрить вредоносные программы в различные программы и приложения, которые затем могут широко распространяться. Поскольку PyPI и другие репозитории, такие как npm и GitHub содержат строительные блоки, которые разработчики используют для создания этих предложений, компрометация их содержимого — отличный способ сделать это.
Исследователи говорят, что 2FA, в частности (который GitHub также недавно реализовал) поможет предотвратить захват учетной записи разработчика, что является одним из способов, которым злоумышленники получают доступ к приложениям.
«Мы видели запущены фишинговые атаки против мейнтейнеров проекта за часто используемые пакеты PyPI, предназначенные для компрометации этих учетных записей», — говорит Эшли Бендж, директор по защите информации об угрозах в ReversingLabs. «После компрометации эти учетные записи можно легко использовать для внедрения вредоносного кода в рассматриваемый проект PyPI».
Одним из наиболее вероятных сценариев первоначального заражения может быть случайная установка вредоносного пакета разработчиком, например, ввод команды Python по ошибке, говорит Дэйв Трумэн, вице-президент по киберрискам в Kroll.
«Многие вредоносные пакеты содержат функции для кражи учетных данных или файлов cookie сеанса браузера и закодированы для запуска на устанавливаемом вредоносном пакете», — объясняет он. «В этот момент вредоносное ПО украдет их учетные данные и сеансы, которые могут включать в себя логины, которые можно использовать с PyPI. Другими словами… один разработчик мог позволить актеру поворачиваться к крупная атака на цепочку поставок в зависимости от того, к чему у этого разработчика есть доступ — 2FA на PyPI поможет помешать актеру воспользоваться [этим]».
Дополнительная работа по обеспечению безопасности цепочки поставок программного обеспечения
Бендж из ReversingLabs отмечает, что, хотя требования PyPI к двухфакторной аутентификации являются шагом в правильном направлении, необходимы дополнительные уровни безопасности, чтобы действительно заблокировать цепочку поставок программного обеспечения. Это связано с тем, что один из наиболее распространенных способов использования киберпреступниками репозиториев программного обеспечения — это загрузка собственных вредоносных пакетов в надежде обмануть разработчиков, заставив их втянуть их в свое программное обеспечение.
В конце концов, любой может зарегистрировать учетную запись PyPI, не задавая вопросов.
Эти усилия обычно включают в себя обыденную тактику социальной инженерии, говорит она: «Опечатка распространена — например, назвать пакет «djanga» (содержащий вредоносный код) вместо «django» (законная и широко используемая библиотека)».
Другая тактика — охота за заброшенными проектами, чтобы вернуть их к жизни. «Ранее безобидный проект заброшен, удален, а затем перепрофилирован для размещения вредоносного ПО. как с termcolor», — объясняет она. Этот подход к повторному использованию предлагает злоумышленникам преимущество использования законной репутации прежнего проекта для привлечения разработчиков.
«Противники постоянно изобретают несколько способов заставить разработчиков использовать вредоносные пакеты, поэтому для Python и других языков программирования с репозиториями программного обеспечения, такими как PyPi, крайне важно иметь комплексный подход к безопасности цепочки поставок программного обеспечения», — говорит Джавед Хасан, генеральный директор и соучредитель Lineaje.
Кроме того, есть несколько способов победить 2FA, отмечает Бенге, в том числе Замена SIM-карты, использование OIDC и перехват сеанса. Хотя это, как правило, трудоемко, мотивированные злоумышленники все равно будут пытаться обойти MFA и, конечно же, 2FA, говорит она.
«Такие атаки требуют гораздо более высокого уровня участия злоумышленников и многих дополнительных шагов, которые будут сдерживать менее мотивированных участников угрозы, но компрометация цепочки поставок организации предлагает потенциальную огромную выгоду для участников угрозы, и многие могут решить, что дополнительные усилия того стоят. " она говорит.
В то время как репозитории предпринимают шаги, чтобы сделать свою среду более безопасной, организации и разработчики должны принимать собственные меры предосторожности, советует Хасан.
«Организациям нужны современные средства обнаружения несанкционированного доступа к цепочке поставок, которые помогают компаниям анализировать содержимое своего программного обеспечения и избегать развертывания неизвестных и опасных компонентов», — говорит он. Кроме того, такие усилия, как спецификации программного обеспечения (SBOM) и управление поверхностью атаки может помочь.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- ПлатонАйСтрим. Анализ данных Web3. Расширение знаний. Доступ здесь.
- Чеканка будущего с Эдриенн Эшли. Доступ здесь.
- Покупайте и продавайте акции компаний PREIPO® с помощью PREIPO®. Доступ здесь.
- Источник: https://www.darkreading.com/application-security/pypi-2fa-requirements-dont-go-far-enough