Python Package Index (PyPI) objavio je prošle sedmice da će svaki nalog koji održava projekat na zvaničnom softverskom repozitorijumu treće strane morati uključiti dvofaktorsku autentifikaciju (2FA) do kraja godine.
“Između sada i kraja godine, PyPI će početi da otvara pristup određenim funkcijama sajta na osnovu upotrebe 2FA” rekao je PyPI administrator Donald Stufft. “Osim toga, mogli bismo započeti odabir određenih korisnika ili projekata za ranu implementaciju.”
Implementacija takođe uključuje održavanje organizacije, ali se ne odnosi na svakog pojedinačnog korisnika usluge.
Cilj je neutralizovati pretnje koje predstavljaju napadi preuzimanja računa, koje napadač može iskoristiti za distribuciju trojanizovanih verzija popularnih paketa kako bi zatrovao lanac nabavke softvera i implementirao maliciozni softver u velikim razmjerima.
PyPI, kao i drugi open source repozitorijumi, kao što je npm, svjedočio je bezbrojnim slučajevima malicioznog softvera i lažnog predstavljanja paketa.
Ranije ovog meseca, Fortinet FortiGuard Labs je otkrio preko 30 Python biblioteka koje su uključivale različite funkcije za povezivanje sa proizvoljnim udaljenim URL-ovima i krađu osetljivih podataka sa kompromitovanih mašina.
Razvoj dolazi skoro godinu dana nakon što je PyPI učinio 2FA obaveznim za kritične održavaoce projekata. U registru se nalazi 457.125 projekata i 704.458 korisnika.
Prema provajderu servisa za praćenje Cloud-a Datadog-u, 9.580 korisnika i 4.541 projekat identifikovano je kao kritično, sa ukupno omogućenim 2FA za 38.248 korisnika do danas.
Izvor: The Hacker News
