Python Paket Dizin (PYPI), platformdaki bir projeyi yıl sonuna kadar açılmasını sağlayan her hesabı gerektireceğini açıkladı.
PYPI, Python programlama dilinde oluşturulan paketler için bir yazılım deposudur. Dizin, 200.000 pakete ev sahipliği yapıyor ve geliştiricilerin çeşitli proje gereksinimlerini karşılayan mevcut paketleri bulmalarına izin veriyor ve onlara zaman ve çaba tasarrufu sağlıyor.
PYPI ekibi, 2FA'yı tüm hesaplarda zorunlu hale getirme kararının, platformdaki güvenliği artırma konusundaki uzun vadeli taahhütlerinin bir parçası olduğunu, bu yönde alınan önceki önlemleri, tehlikeye atılan kimlik bilgilerini engellemek ve API tokenlerini desteklemek gibi tamamladığını söylüyor.
2FA korumasının bir yararı, tedarik zinciri saldırıları riskinin azalmasıdır. Bu tür saldırılar, kötü niyetli bir aktör bir yazılım bakıcısının hesabının kontrolünü kazandığında ve çeşitli yazılım projelerinde bağımlılık olarak kullanılan bir pakete bir arka kapı veya kötü amaçlı yazılım eklediğinde ortaya çıkar.
Paketin ne kadar popüler olduğuna bağlı olarak, bu tür saldırılar milyonlarca kullanıcıyı etkileyebilir. Geliştiriciler projelerinin yapı taşlarını iyice incelemekten sorumlu olsa da, Pypi’nin önlemi bu tür bir sorunu en aza indirmeyi kolaylaştırmalıdır.
Buna ek olarak, Python Proje Deposu, son aylarda kaçırılan hesaplar kullanarak yaygın kötü amaçlı yazılım yüklemeleri, ünlü paket taklit etme ve kötü amaçlı kodun yeniden yatırılmasından muzdariptir.
Sorun öyle bir büyüklüğe ulaştı ki, geçen hafta PYPI, etkili bir savunma çözümü geliştirilip uygulanana kadar yeni kullanıcıların ve projelerin kayıtlarını geçici olarak duraklatmak zorunda kaldı.
2FA koruması, hesap devralma saldırıları sorununu azaltmaya yardımcı olacak ve ayrıca askıya alınmış bir kullanıcının kötü amaçlı paketleri yeniden yüklemek için kaç yeni hesap oluşturabileceği konusunda bir sınır belirlemelidir.
Tüm proje ve organizasyon bakımı hesaplarına 2FA kurma gereksinimi, 2023 sonuna kadar son tarihe sahiptir.
Sonraki aylarda, etkilenen kullanıcıların bir donanım anahtarı veya kimlik doğrulama uygulaması kullanarak ek güvenlik önlemini hazırlamaları ve etkinleştirmeleri önerilir.
PYPI ekibi, GitHub gibi geliştiricilerin 2FA gereksinimlerini aşina olmalarına yardımcı olan, bu yıl önlemi tanıtmak için mükemmel bir an haline getiren Github gibi platformlardan paralel girişimlerle birleştiğinde, 'güvenilir yayıncılık' tanıtımı gibi önceki aylarda yaptığı hazırlık çalışmasının.
Google Authenticator artık 2FA kodlarınızı buluta yedekliyor
PYPI, yüksek hacimli kötü amaçlı yazılımların ortasında projeleri geçici olarak durduruyor
Google, Google Authenticator'a uçtan uca şifreleme ekleyecek
WhatsApp, kötü amaçlı yazılım yoluyla hesap devralmasına karşı savunmayı artırır
Bilgisayar korsanları bir tedarik zinciri saldırısında 3CX masaüstü uygulamasını tehlikeye atıyor
Kaynak: Bleeping Computer