Ngày 29 tháng 5 năm 2023Ravie Lakshmanan Chuỗi cung ứng / Lập trình
Chỉ số gói Python (PyPI) đã công bố vào tuần trước rằng mọi tài khoản duy trì dự án trên kho lưu trữ phần mềm chính thức của bên thứ ba sẽ được yêu cầu bật xác thực hai yếu tố (2FA) vào cuối năm nay.
“Từ nay đến cuối năm nay, PyPI sẽ bắt đầu kiểm soát quyền truy cập vào một số chức năng của trang web dựa trên việc sử dụng 2FA,” quản trị viên PyPI Donald Stufft cho biết. “Ngoài ra, chúng tôi có thể bắt đầu chọn một số người dùng hoặc dự án nhất định để thực thi sớm.”
Việc thực thi cũng bao gồm những người duy trì tổ chức, nhưng không mở rộng cho mọi người dùng dịch vụ.
Mục tiêu là vô hiệu hóa các mối đe dọa do các cuộc tấn công chiếm đoạt tài khoản gây ra, kẻ tấn công có thể tận dụng để phân phối các phiên bản trojan của các gói phổ biến nhằm đầu độc chuỗi cung ứng phần mềm và triển khai phần mềm độc hại trên quy mô lớn.
PyPI, giống như các kho mã nguồn mở khác như npm, đã chứng kiến vô số trường hợp mạo danh gói và phần mềm độc hại.
HỘI THẢO TRỰC TUYẾN SẮP TỚI
Zero Trust + Lừa đảo: Học cách qua mặt những kẻ tấn công!
Khám phá cách Deception có thể phát hiện các mối đe dọa nâng cao, ngăn chặn chuyển động ngang và nâng cao chiến lược Zero Trust của bạn. Tham gia hội thảo trên web sâu sắc của chúng tôi!
Giữ chỗ ngồi của tôi!
Đầu tháng này, Fortinet FortiGuard Labs đã phát hiện hơn 30 thư viện Python tích hợp nhiều tính năng khác nhau để kết nối với các URL từ xa tùy ý và đánh cắp dữ liệu nhạy cảm từ các máy bị xâm nhập.
Sự phát triển diễn ra gần một năm sau khi PyPI bắt buộc 2FA đối với những người bảo trì dự án quan trọng. Cơ quan đăng ký là nơi có 457.125 dự án và 704.458 người dùng.
Theo nhà cung cấp dịch vụ giám sát đám mây Datadog, 9.580 người dùng và 4.541 dự án đã được xác định là quan trọng, với tổng số 2FA được bật cho 38.248 người dùng cho đến nay.