O Python Package Index (PyPI) anunciou na última semana que todas as contas que mantêm um projeto no repositório oficial de software de terceiros serão obrigadas a ativar a autenticação de dois fatores (2FA) até o final do ano.
"Entre agora e o final do ano, o PyPI começará a limitar o acesso a determinadas funcionalidades do site com base no uso do 2FA", disse o administrador do PyPI, Donald Stufft.
"Além disso, podemos começar a selecionar determinados usuários ou projetos para aplicação antecipada".
A aplicação também inclui mantenedores de organizações, mas não se estende a todos os usuários do serviço.
O objetivo é neutralizar as ameaças representadas pelos ataques de roubo de conta, que um invasor pode aproveitar para distribuir versões trojanizadas de pacotes populares para envenenar a cadeia de suprimentos de software e implantar malware em grande escala.
O PyPI, como outros repositórios de código aberto, como o npm, testemunhou inúmeras instâncias de malware e falsificação de pacotes.
No início deste mês, o Fortinet FortiGuard Labs descobriu mais de 30 bibliotecas Python que incorporavam vários recursos para se conectar a URLs remotos arbitrários e roubar dados sensíveis de máquinas comprometidas.
O desenvolvimento ocorre quase um ano depois que o PyPI tornou o 2FA obrigatório para mantenedores de projetos críticos.
O registro é lar de 457.125 projetos e 704.458 usuários.
De acordo com o provedor de serviços de monitoramento em nuvem Datadog, 9.580 usuários e 4.541 projetos foram identificados como críticos, com um total de 38.248 usuários com 2FA ativado até o momento.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...