RubyGems, le gestionnaire de packages officiel pour le langage de programmation Ruby, est devenu la dernière plate-forme à rendre obligatoire l’authentification multifacteur (MFA) pour les mainteneurs de packages populaires, suivant les traces de MNP et PyPI.
À cette fin, les propriétaires de gemmes avec plus de 180 millions de téléchargements au total sont tenus d’activer la MFA à compter du 15 août 2022.
« Les utilisateurs de cette catégorie qui n’ont pas activé MFA au niveau de l’interface utilisateur et de l’API ou de l’interface utilisateur et de la connexion au gem ne pourront pas modifier leur profil sur le Web, effectuer des actions privilégiées (c’est-à-dire pousser et tirer des gemmes, ou ajouter et supprimer propriétaires de gem), ou connectez-vous sur la ligne de commande jusqu’à ce qu’ils configurent MFA, » RubyGems c’est noté.
De plus, les mainteneurs de gemmes qui franchissent 165 millions de téléchargements cumulés devraient recevoir des rappels pour activer MFA jusqu’à ce que le nombre de téléchargements atteigne le seuil de 180 millions, auquel cas il deviendra obligatoire.
Le développement est considéré comme une tentative des écosystèmes de packages pour renforcer la chaîne d’approvisionnement des logiciels et empêcher les attaques de prise de contrôle de compte, ce qui pourrait permettre à des acteurs malveillants de tirer parti de l’accès pour envoyer des packages malveillants aux clients en aval.
La nouvelle exigence intervient également dans le contexte d’adversaires qui se tournent de plus en plus vers les référentiels de code open source, avec des attaques contre NPM et PyPI faisant boule de neige de 289% combinés depuis 2018, selon une nouvelle analyse de ReversingLabs.
Dans ce qui est devenu un thème récurrent, des chercheurs de Checkmarx, Kasperskyet Snyk a découvert une multitude de packages malveillants dans PyPI qui pourraient être exploités pour mener des attaques DDoS et récolter les mots de passe du navigateur ainsi que les informations d’identification et de paiement Discord et Roblox.
Il ne s’agit là que d’un flux apparemment infini de logiciels malveillants spécialement conçus pour infecter les systèmes des développeurs avec des voleurs d’informations, permettant potentiellement aux acteurs de la menace d’identifier les points de pivot appropriés dans les environnements compromis et d’approfondir leurs intrusions.
