Python Paket Dizini (PyPI) operatörleri, hafta sonu yeni projeleri ve kullanıcıları kabul etmeyi kısaca reddetti. Görünüşe göre, kötü amaçlı kod içeren paketlerin saldırısı, kötü amaçlı paketleri filtrelemek için çok büyüktü. Kayıt Pazar günü normal faaliyetlerine devam etti.
20 Mayıs Python Altyapı Durumu sayfasında şu ifadeler yer almaktadır: “Yeni kullanıcıların ve yeni proje adlarının kaydını geçici olarak askıya aldık. Geçen hafta dizinde oluşturulan saldırganların ve saldırgan projelerinin sayısı bilgimizin ötesinde. Buna bir tepki verme yeteneği. özellikle birkaç PyPI yöneticisi tatilde olduğu için zamanında. Hafta sonu yeniden bir araya geldiğimiz için yeni kullanıcı ve proje kaydı geçici olarak askıya alındı.”
Tedarik zinciri saldırılarının hedefi olarak parsel işleyicileri
Kayıtlar ve paket işleyicileri her zaman tedarik zinciri saldırılarının hedefidir. Saldırganlar, geliştiricilerin uygulamalarında kullandıkları PyPI, npm veya RubyGems.org gibi platformlarda sözde yararlı paketler yayınlar. Yaygın yöntemler yazım hatası ve marka hırsızlığıdır. İkincisi, meşru bir kaynağı taklit etmek için Twilio gibi şirket adlarını kullanır.
Typosquatting ile, kötü amaçlı kod paketlerine popüler paketlere benzer adlar verilir. Yöntem bir yandan yazım hatalarına dayanırken diğer yandan alt çizgi ve kısa çizgi gibi ayırıcılar kullanır. paketim, paketim, paketim veya paketim olur. Birisi bir yazım hatası yapacak, bu nedenle saldırganların meşru umudu.
Başka bir saldırı vektörü, başlangıçta yalnızca belirli bir dağıtıma ulaştıklarında yanlarında kötü amaçlı kod taşıyan yararlı ve zararsız paketlerdir. npm ekibi böyle bir paketi 2019 yılında elektron-native-notify ile keşfetti. Son olarak Dependency Confusion, dahili olarak barındırılan bağımlılıkları, kötü amaçlı kod içeren aynı ada sahip harici paketlerle değiştirmeye çalışır. İkincisine büyük bir sürüm numarası atanır çünkü pip gibi paket kurulum araçları, kurulumunuza bağlı olarak en güncel olması gereken en yüksek numaralı paketi kullanır.
PyPI’de tanıtım ve önlemler
Python Software Foundation, PyPI paket kaydını tutar ve Python programlama dilinin daha da geliştirilmesiyle ilgilenir. Haziran 2022’de vakıf, Python ve altyapısının güvenliğini güçlendirmek için Açık Kaynak Güvenlik Vakfı’ndan (OpenSSF) 400.000 ABD Doları aldı.
Temmuz 2022’de PyPI operatörleri 2FA talimatını başlattı: o zamandan beri, kritik projelerin operatörleri iki faktörlü kimlik doğrulama kullanarak oturum açmalıdır. Son altı aydaki en yüksek indirme yüzdesi, o sırada 3500 kadar projeyi etkileyen kritik kabul ediliyor. Prensip olarak, 2019’dan beri 2FA aracılığıyla kayıt mümkündür.
(rm)
Haberin Sonu
20 Mayıs Python Altyapı Durumu sayfasında şu ifadeler yer almaktadır: “Yeni kullanıcıların ve yeni proje adlarının kaydını geçici olarak askıya aldık. Geçen hafta dizinde oluşturulan saldırganların ve saldırgan projelerinin sayısı bilgimizin ötesinde. Buna bir tepki verme yeteneği. özellikle birkaç PyPI yöneticisi tatilde olduğu için zamanında. Hafta sonu yeniden bir araya geldiğimiz için yeni kullanıcı ve proje kaydı geçici olarak askıya alındı.”
Tedarik zinciri saldırılarının hedefi olarak parsel işleyicileri
Kayıtlar ve paket işleyicileri her zaman tedarik zinciri saldırılarının hedefidir. Saldırganlar, geliştiricilerin uygulamalarında kullandıkları PyPI, npm veya RubyGems.org gibi platformlarda sözde yararlı paketler yayınlar. Yaygın yöntemler yazım hatası ve marka hırsızlığıdır. İkincisi, meşru bir kaynağı taklit etmek için Twilio gibi şirket adlarını kullanır.
Typosquatting ile, kötü amaçlı kod paketlerine popüler paketlere benzer adlar verilir. Yöntem bir yandan yazım hatalarına dayanırken diğer yandan alt çizgi ve kısa çizgi gibi ayırıcılar kullanır. paketim, paketim, paketim veya paketim olur. Birisi bir yazım hatası yapacak, bu nedenle saldırganların meşru umudu.
Başka bir saldırı vektörü, başlangıçta yalnızca belirli bir dağıtıma ulaştıklarında yanlarında kötü amaçlı kod taşıyan yararlı ve zararsız paketlerdir. npm ekibi böyle bir paketi 2019 yılında elektron-native-notify ile keşfetti. Son olarak Dependency Confusion, dahili olarak barındırılan bağımlılıkları, kötü amaçlı kod içeren aynı ada sahip harici paketlerle değiştirmeye çalışır. İkincisine büyük bir sürüm numarası atanır çünkü pip gibi paket kurulum araçları, kurulumunuza bağlı olarak en güncel olması gereken en yüksek numaralı paketi kullanır.
PyPI’de tanıtım ve önlemler
Python Software Foundation, PyPI paket kaydını tutar ve Python programlama dilinin daha da geliştirilmesiyle ilgilenir. Haziran 2022’de vakıf, Python ve altyapısının güvenliğini güçlendirmek için Açık Kaynak Güvenlik Vakfı’ndan (OpenSSF) 400.000 ABD Doları aldı.
Temmuz 2022’de PyPI operatörleri 2FA talimatını başlattı: o zamandan beri, kritik projelerin operatörleri iki faktörlü kimlik doğrulama kullanarak oturum açmalıdır. Son altı aydaki en yüksek indirme yüzdesi, o sırada 3500 kadar projeyi etkileyen kritik kabul ediliyor. Prensip olarak, 2019’dan beri 2FA aracılığıyla kayıt mümkündür.
(rm)
Haberin Sonu