Le Python Package Index (PyPI) a annoncé la semaine dernière que chaque compte qui gère un projet sur le référentiel de logiciels tiers officiel devra activer l’authentification à deux facteurs (2FA) d’ici la fin de l’année.
« D’ici à la fin de l’année, PyPI commencera à bloquer l’accès à certaines fonctionnalités du site en fonction de l’utilisation de 2FA », a déclaré l’administrateur de PyPI, Donald Stufft. « En outre, nous pouvons commencer à sélectionner certains utilisateurs ou projets pour une application précoce. »
L’exécution comprend également responsables de l’organisationmais ne s’étend pas à chaque utilisateur du service.
L’objectif est de neutraliser les menaces posées par les attaques de prise de contrôle de compte, qu’un attaquant peut exploiter pour distribuer des versions trojanisées de packages populaires afin d’empoisonner la chaîne d’approvisionnement des logiciels et de déployer des logiciels malveillants à grande échelle.
PyPI, comme d’autres référentiels open source tels que npm, a été témoin d’innombrables cas d’usurpation d’identité de logiciels malveillants et de packages.
Zero Trust + Deception : apprenez à déjouer les attaquants !
Découvrez comment Deception peut détecter les menaces avancées, arrêter les mouvements latéraux et améliorer votre stratégie Zero Trust. Rejoignez notre webinaire perspicace !
Plus tôt ce mois-ci, Fortinet FortiGuard Labs découvert plus de 30 bibliothèques Python incorporant diverses fonctionnalités pour se connecter à des URL distantes arbitraires et voler des données sensibles sur des machines compromises.
Le développement intervient près d’un an après que PyPI a rendu 2FA obligatoire pour les mainteneurs de projets critiques. Le enregistrement abrite 457 125 projets et 704 458 utilisateurs.
Selon le fournisseur de services de surveillance cloud Datadog9 580 utilisateurs et 4 541 projets ont été identifiés comme critiques, avec 2FA activé au total pour 38 248 utilisateurs à ce jour.
