Ruby programlama dilinin resmi paket yöneticisi olan RubyGems, NPM ve PyPI’nin ayak izlerini takip ederek popüler paket sağlayıcılar için çok faktörlü kimlik doğrulamayı (MFA) zorunlu kılan en son platform haline geldi.
Bu amaçla, toplamda 180 milyonun üzerinde indirmeye sahip mücevher sahiplerinin 15 Ağustos 2022 tarihinden itibaren MFA’yı açmaları zorunludur.
“Bu kategorideki, kullanıcı arayüzünde ve API’de veya kullanıcı arayüzünde ve gem oturum açma düzeyinde MFA’yı etkinleştirmemiş olan kullanıcılar, web’deki profillerini düzenleyemez, ayrıcalıklı eylemler gerçekleştiremez (yani, taşları itip çekemez veya ekle ve kaldıramaz). gem sahipleri) veya MFA’yı yapılandırana kadar komut satırında oturum açın,” dedi RubyGems.
Dahası, 165 milyon kümülatif indirmeyi aşan mücevher sahiplerinin, indirme sayısı 180 milyon eşiğe ulaşana kadar MFA’yı açmaları için hatırlatıcılar almaları bekleniyor ve bu noktada zorunlu hale getirilecek.
Geliştirme, paket ekosistemlerinin yazılım tedarik zincirini güçlendirme ve hesap devralma saldırılarını önleme girişimi olarak görülüyor; bu, kötü niyetli aktörlerin hileli paketleri alt müşterilere göndermek için erişimden yararlanmalarını sağlayabilir.
Yeni gereksinim, ReversingLabs tarafından yapılan yeni bir analize göre, NPM ve PyPI’ye yönelik saldırıların 2018’den bu yana birleştiğinde %289’luk bir oranla açık kaynak kod depolarına giderek daha fazla odaklanan rakiplerin arka planında da yer alıyor.
Checkmarx, Kaspersky ve Snyk’ten araştırmacılar, şimdiye kadar tekrar eden bir tema haline geldi ve PyPI’de, DDoS saldırıları gerçekleştirmek ve tarayıcı şifrelerinin yanı sıra Discord ve Roblox kimlik bilgileri ve ödeme bilgilerini toplamak için kötüye kullanılabilecek bir dizi kötü amaçlı paket ortaya çıkardı.
Bu, potansiyel olarak tehdit aktörlerinin güvenliği ihlal edilmiş ortamlarda uygun dönüm noktalarını belirlemelerini ve izinsiz girişlerini derinleştirmelerini sağlayan, geliştiricinin sistemlerine bilgi hırsızları bulaştırmak için özel olarak tasarlanmış, görünüşte sonsuz bir kötü amaçlı yazılım akışından yalnızca biridir.