PyPI: Ανακοινώνει την υποχρεωτική χρήση του 2FA για όλους τους software publishers

Το Python Package Index (PyPI) ανακοίνωσε ότι, μέχρι το τέλος του έτους, κάθε λογαριασμός που διαχειρίζεται ένα project στην πλατφόρμα θα πρέπει να έχει ενεργοποιημένο τον έλεγχο ταυτότητας δύο παραγόντων (2FA).

Δείτε επίσης: Κακόβουλα πακέτα PyPi περιείχαν το W4SP Stealer malware

Το PyPI είναι ένα software repository για πακέτα που δημιουργούνται με τη χρήση της γλώσσας προγραμματισμού Python. Φιλοξενεί περίπου 200.000 πακέτα, επιτρέποντας στους προγραμματιστές να βρίσκουν γρήγορα τα υπάρχοντα πακέτα που ανταποκρίνονται στις διάφορες απαιτήσεις των έργων τους, εξοικονομώντας έτσι χρόνο και κόπο.

Δείτε επίσης: PyPi python packages κλέβουν crypto μέσω Chrome extensions

Η ομάδα του PyPI δηλώνει ότι η απόφαση να καταστήσει υποχρεωτικό τον έλεγχο ταυτότητας δύο παραγόντων σε όλους τους λογαριασμούς αποτελεί μέρος της μακροπρόθεσμης δέσμευσής της για την ενίσχυση της ασφάλειας στην πλατφόρμα, συμπληρώνοντας προηγούμενα μέτρα που έχουν ληφθεί προς αυτή την κατεύθυνση, όπως ο αποκλεισμός των παραβιασμένων credential και η υποστήριξη των API tokens.

Ένα πλεονέκτημα της προστασίας με έλεγχο ταυτότητας δύο παραγόντων (2FA) είναι ο μειωμένος κίνδυνος επιθέσεων στην αλυσίδα εφοδιασμού. Αυτού του είδους οι επιθέσεις συμβαίνουν όταν ένας κακόβουλος φορέας αποκτά τον έλεγχο του λογαριασμού ενός software maintainer και προσθέτει μια backdoor ή κακόβουλο λογισμικό σε ένα πακέτο που χρησιμοποιείται ως dependency σε διάφορα έργα λογισμικού.

Ανάλογα με το πόσο δημοφιλές είναι το πακέτο, τέτοιες επιθέσεις μπορούν να επηρεάσουν εκατομμύρια χρήστες. Ενώ οι προγραμματιστές είναι υπεύθυνοι για την ενδελεχή επιθεώρηση των δομικών στοιχείων των έργων τους, τα μέτρα του PyPI θα πρέπει να διευκολύνουν την ελαχιστοποίηση αυτού του τύπου προβλημάτων.

Επιπλέον, το Python project repository έχει πληγεί από αχαλίνωτες μεταφορτώσεις κακόβουλου λογισμικού και την εκ νέου υποβολή κακόβουλου κώδικα με τη χρήση hijacked λογαριασμών

τους τελευταίους μήνες.

Το πρόβλημα έφτασε σε τέτοιο μέγεθος που την περασμένη εβδομάδα, το PyPI αναγκάστηκε να διακόψει προσωρινά τις εγγραφές νέων χρηστών και project μέχρι να αναπτυχθεί και να εφαρμοστεί μια αποτελεσματική λύση άμυνας.

Η προστασία με έλεγχο ταυτότητας δύο παραγόντων θα συμβάλει στον μετριασμό του προβλήματος των επιθέσεων account takeover και θα πρέπει επίσης να θέσει ένα όριο στον αριθμό των νέων λογαριασμών που μπορεί να δημιουργήσει ένας χρήστης που έχει τεθεί σε διαθεσιμότητα για να επαναφορτώσει κακόβουλα πακέτα.

Δείτε επίσης: Ακόμη ένα πακέτο PyPI εγκαθιστά malware

Ο δρόμος προς το 2FA

Η απαίτηση για τη δημιουργία 2FA σε όλους τους λογαριασμούς συντηρητών έργων και οργανισμών έχει προθεσμία έως το τέλος του 2023.

Τους επόμενους μήνες, συνιστάται στους χρήστες που επηρεάζονται από αυτό να ρυθμίσουν και να ενεργοποιήσουν το πρόσθετο μέτρο ασφαλείας χρησιμοποιώντας είτε ένα hardware key είτε μια εφαρμογή ελέγχου ταυτότητας.

Η ομάδα του PyPI λέει ότι η προπαρασκευαστική εργασία που έχει κάνει τους προηγούμενους μήνες, όπως η εισαγωγή της “Trusted Publishing”, σε συνδυασμό με παράλληλες πρωτοβουλίες από πλατφόρμες όπως το GitHub που βοήθησαν τους προγραμματιστές να εξοικειωθούν με τις απαιτήσεις 2FA, καθιστά φέτος μια εξαιρετική στιγμή για την εισαγωγή του μέτρου.

Πηγή πληροφοριών: bleepingcomputer.com