Разработчики Python Package Index (PyPI) сообщили, что до конца года двухфакторная аутентификация (2ФА) должна быть включена для всех учетных записей, управляющих хотя бы одним проектом.
Команда PyPI пишет, что решение сделать двухфакторную аутентификацию обязательной является частью их долгосрочных обязательств по повышению безопасности на платформе, которые должны дополнить принятые ранее меры, такие как блокировка скомпрометированных учетных данных и поддержка токенов API.
Одним из основных преимуществ 2ФА является снижение рисков атак на цепочку поставок. В рамках таких атак злоумышленник захватывает контроль над учетной записью сопровождающего и встраивает бэкдор или малварь в сам пакет, который обычно широко используется во многих проектах. В результате такие атаки могут затронуть миллионы пользователей.
Нужно отметить, что в последние годы вредоносные кампании, связанные с PyPI, действительно участились, а исследователи то и дело обнаруживают на платформе вредоносные пакеты (1, 2, 3, 4, 5).
Кроме того, на прошлой неделе команде PyPI вообще пришлось временно отключить регистрацию пользователей и ввести запрет на загрузку новых пакетов. Эти меры стали вынужденным ответом на наплыв злоумышленников и вредоносных пакетов.
Ожидается, что защита 2ФА поможет смягчить проблему атак с захватом учетных записей, а также воспрепятствует автоматизированным атакам и повлияет на количество новых учетных записей, которые может создать заблокированный пользователь для повторной загрузки малвари.
