O Python Package Index (PyPI) anunciou na última semana que todas as contas que mantêm um projeto no repositório oficial de software de terceiros serão obrigadas a ativar a autenticação de dois fatores (2FA) até o final do ano.
"Entre agora e o final do ano, o PyPI começará a limitar o acesso a determinadas funcionalidades do site com base no uso do 2FA", disse o administrador do PyPI, Donald Stufft.
"Além disso, podemos começar a selecionar determinados usuários ou projetos para aplicação antecipada".
A aplicação também inclui mantenedores de organizações, mas não se estende a todos os usuários do serviço.
O objetivo é neutralizar as ameaças representadas pelos ataques de roubo de conta, que um invasor pode aproveitar para distribuir versões trojanizadas de pacotes populares para envenenar a cadeia de suprimentos de software e implantar malware em grande escala.
O PyPI, como outros repositórios de código aberto, como o npm, testemunhou inúmeras instâncias de malware e falsificação de pacotes.
No início deste mês, o Fortinet FortiGuard Labs descobriu mais de 30 bibliotecas Python que incorporavam vários recursos para se conectar a URLs remotos arbitrários e roubar dados sensíveis de máquinas comprometidas.
O desenvolvimento ocorre quase um ano depois que o PyPI tornou o 2FA obrigatório para mantenedores de projetos críticos.
O registro é lar de 457.125 projetos e 704.458 usuários.
De acordo com o provedor de serviços de monitoramento em nuvem Datadog, 9.580 usuários e 4.541 projetos foram identificados como críticos, com um total de 38.248 usuários com 2FA ativado até o momento.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...