El Python Package Index (PyPI) anunció la semana pasada que cada cuenta que mantenga un proyecto en el repositorio oficial de software de terceros deberá activar la autenticación de dos factores (2FA) a finales de año.
«Entre ahora y fin de año, PyPI comenzará a obtener acceso a ciertas funciones del sitio en función del uso de 2FA», dijo el administrador de PyPI, Donald Stufft. «Además, podemos comenzar a seleccionar ciertos usuarios o proyectos para la aplicación temprana».
La ejecución también incluye mantenedores de la organizaciónpero no se extiende a todos los usuarios del servicio.
El objetivo es neutralizar las amenazas que plantean los ataques de apropiación de cuentas, que un atacante puede aprovechar para distribuir versiones troyanizadas de paquetes populares para envenenar la cadena de suministro de software e implementar malware a gran escala.
PyPI, al igual que otros repositorios de código abierto como npm, ha sido testigo de innumerables instancias de malware y suplantación de paquetes.
Zero Trust + Deception: ¡Aprende a ser más astuto que los atacantes!
Descubra cómo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust. ¡Únase a nuestro seminario web perspicaz!
A principios de este mes, Fortinet FortiGuard Labs descubierto más de 30 bibliotecas de Python que incorporaron varias funciones para conectarse a URL remotas arbitrarias y robar datos confidenciales de máquinas comprometidas.
El desarrollo se produce casi un año después de que PyPI hiciera obligatorio 2FA para los mantenedores de proyectos críticos. El registro alberga 457.125 proyectos y 704.458 usuarios.
Según el proveedor de servicios de monitoreo en la nube perro de datos9.580 usuarios y 4.541 proyectos han sido identificados como críticos, con 2FA habilitado en total para 38.248 usuarios hasta la fecha.