O Python Package Index (PyPI) anunciou na última semana que todas as contas que mantêm um projeto no repositório oficial de software de terceiros serão obrigadas a ativar a autenticação de dois fatores (2FA) até o final do ano.
"Entre agora e o final do ano, o PyPI começará a limitar o acesso a determinadas funcionalidades do site com base no uso do 2FA", disse o administrador do PyPI, Donald Stufft.
"Além disso, podemos começar a selecionar determinados usuários ou projetos para aplicação antecipada".
A aplicação também inclui mantenedores de organizações, mas não se estende a todos os usuários do serviço.
O objetivo é neutralizar as ameaças representadas pelos ataques de roubo de conta, que um invasor pode aproveitar para distribuir versões trojanizadas de pacotes populares para envenenar a cadeia de suprimentos de software e implantar malware em grande escala.
O PyPI, como outros repositórios de código aberto, como o npm, testemunhou inúmeras instâncias de malware e falsificação de pacotes.
No início deste mês, o Fortinet FortiGuard Labs descobriu mais de 30 bibliotecas Python que incorporavam vários recursos para se conectar a URLs remotos arbitrários e roubar dados sensíveis de máquinas comprometidas.
O desenvolvimento ocorre quase um ano depois que o PyPI tornou o 2FA obrigatório para mantenedores de projetos críticos.
O registro é lar de 457.125 projetos e 704.458 usuários.
De acordo com o provedor de serviços de monitoramento em nuvem Datadog, 9.580 usuários e 4.541 projetos foram identificados como críticos, com um total de 38.248 usuários com 2FA ativado até o momento.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...