RubyGems, trình quản lý gói chính thức cho ngôn ngữ lập trình Ruby, đã trở thành nền tảng mới nhất để ủy quyền xác thực đa yếu tố (MFA) cho những người duy trì gói phổ biến, theo bước chân của NPM và PyPI.
Vì vậy, chủ sở hữu của những viên đá quý với tổng số hơn 180 triệu lượt tải xuống bắt buộc phải bật MFA có hiệu lực từ ngày 15 tháng 8 năm 2022.
“Người dùng trong danh mục này chưa bật MFA trên giao diện người dùng và API hoặc giao diện người dùng và cấp đăng nhập đá quý sẽ không thể chỉnh sửa hồ sơ của họ trên web, thực hiện các hành động đặc quyền (tức là đẩy và kéo đá quý hoặc thêm và xóa chủ sở hữu đá quý), hoặc đăng nhập trên dòng lệnh cho đến khi họ định cấu hình MFA “, RubyGems lưu ý.
Hơn nữa, những người bảo trì đá quý vượt qua 165 triệu lượt tải xuống tích lũy dự kiến sẽ nhận được lời nhắc bật MFA cho đến khi số lượt tải xuống chạm ngưỡng 180 triệu, tại thời điểm đó, nó sẽ được thực hiện bắt buộc.
Sự phát triển này được coi là một nỗ lực của các hệ sinh thái gói nhằm củng cố chuỗi cung ứng phần mềm và ngăn chặn các cuộc tấn công chiếm đoạt tài khoản, điều này có thể cho phép các phần tử độc hại tận dụng quyền truy cập để đẩy các gói giả mạo cho khách hàng phía dưới.
Theo một phân tích mới từ ReversingLabs, yêu cầu mới cũng được đưa ra trong bối cảnh các đối thủ ngày càng chú ý đến kho mã nguồn mở, với các cuộc tấn công vào NPM và PyPI đã tăng 289% kể từ năm 2018, theo một phân tích mới từ ReversingLabs.
Trong những gì hiện đã trở thành một chủ đề lặp lại, các nhà nghiên cứu từ Checkmarx, Kaspersky và Snyk đã phát hiện ra một loạt các gói độc hại trong PyPI có thể bị lạm dụng để thực hiện các cuộc tấn công DDoS và lấy mật khẩu trình duyệt cũng như thông tin thanh toán và thông tin xác thực Discord và Roblox.
Đây chỉ là một trong những dòng phần mềm độc hại dường như vô tận được điều chỉnh đặc biệt để lây nhiễm hệ thống của nhà phát triển với những kẻ đánh cắp thông tin, có khả năng cho phép các tác nhân đe dọa xác định các điểm xoay vòng phù hợp trong môi trường bị xâm nhập và xâm nhập sâu hơn.
.
