Python Package Index (PyPI) minulý týden oznámil, že každý účet, který udržuje projekt na oficiálním úložišti softwaru, bude muset do konce roku zapnout dvoufaktorové ověřování (2FA).
“Od teď do konce roku začne PyPI omezovat přístup k určitým funkcím webu na základě využití 2FA,” řekl správce PyPI Donald Stufft. “Kromě toho můžeme začít vybírat určité uživatele nebo projekty pro včasné vynucení.”
Vynucení zahrnuje také správce organizace, ale nevztahuje se na každého jednotlivého uživatele služby.
Cílem je neutralizovat hrozby, které představují útoky na převzetí účtu, které může útočník využít k distribuci trojanizovaných verzí populárních balíčků, aby otrávil dodavatelský řetězec softwaru a nasadil malware ve velkém měřítku.
PyPI, stejně jako ostatní úložiště s otevřeným zdrojovým kódem, jako je npm, bylo svědkem nesčetných případů malwaru a zosobnění balíčků.
Začátkem tohoto měsíce společnost Fortinet FortiGuard Labs objevila více než 30 knihoven Pythonu, které obsahovaly různé funkce pro připojení k libovolným vzdáleným URL a krádež citlivých dat z napadených počítačů.
Vývoj přichází téměř rok poté, co PyPI učinilo 2FA povinným pro správce kritických projektů. Registr je domovem 457 125 projektů a 704 458 uživatelů.
Podle poskytovatele cloudových monitorovacích služeb Datadog bylo 9 580 uživatelů a 4 541 projektů označeno za kritické, přičemž 2FA bylo k dnešnímu dni povoleno celkem pro 38 248 uživatelů.
Zdroj: thehackernews.com
Zdroj: IT SECURITY NETWORK NEWS