Ruby programlama dilinin resmi paket yöneticisi olan RubyGems, popüler paket bakımcıları için çok faktörlü kimlik doğrulamayı (MFA) zorunlu kılan en son platform haline geldi. NPM ve PyPI.
Bu amaçla, toplamda 180 milyonun üzerinde indirmeye sahip mücevher sahiplerinin 15 Ağustos 2022 tarihinden itibaren MFA’yı açmaları zorunludur.
“UI ve API’de veya kullanıcı arayüzünde ve gem oturum açma düzeyinde MFA’yı etkinleştirmeyen bu kategorideki kullanıcılar, web’deki profillerini düzenleyemez, ayrıcalıklı eylemler gerçekleştiremez (yani, değerli taşları itip çekemez veya ekle ve kaldıramaz). gem sahipleri) veya MFA’yı yapılandırana kadar komut satırında oturum açın,” RubyGems kayıt edilmiş.
Dahası, 165 milyon kümülatif indirmeyi aşan mücevher sahiplerinin, indirme sayısı 180 milyon eşiğe ulaşana kadar MFA’yı açmaları için hatırlatıcılar almaları bekleniyor ve bu noktada zorunlu hale getirilecek.
Geliştirme, paket ekosistemlerinin yazılım tedarik zincirini güçlendirme ve hesap devralma saldırılarını önleme girişimi olarak görülüyor; bu, kötü niyetli aktörlerin hileli paketleri alt müşterilere göndermek için erişimden yararlanmalarını sağlayabilir.
Yeni gereksinim aynı zamanda, NPM ve PyPI’ye yönelik saldırıların 2018’den bu yana birleştiğinde %289’luk bir oranla açık kaynak kod depolarına bakışlarını giderek artan bir şekilde açık kaynak kod depolarına çeviren rakiplerin arka planında da yer alıyor. Tersine Çevirme Laboratuvarları.
Şimdiye kadar tekrar eden bir konu haline gelen bu konuda, araştırmacılar kontrol işareti, Kasperskyve Snyk PyPI’de, DDoS saldırıları gerçekleştirmek ve tarayıcı şifrelerinin yanı sıra Discord ve Roblox kimlik bilgileri ve ödeme bilgilerini toplamak için kötüye kullanılabilecek bir dizi kötü amaçlı paket ortaya çıkardı.
Bu, potansiyel olarak tehdit aktörlerinin güvenliği ihlal edilmiş ortamlarda uygun dönüm noktalarını belirlemelerini ve izinsiz girişlerini derinleştirmelerini sağlayan, geliştiricinin sistemlerine bilgi hırsızları bulaştırmak için özel olarak tasarlanmış, görünüşte sonsuz bir kötü amaçlı yazılım akışından yalnızca biridir.