PyPI implementa autenticação obrigatória de dois fatores para proprietários de projetos
29 de Maio de 2023

O Python Package Index (PyPI) anunciou na última semana que todas as contas que mantêm um projeto no repositório oficial de software de terceiros serão obrigadas a ativar a autenticação de dois fatores (2FA) até o final do ano.

"Entre agora e o final do ano, o PyPI começará a limitar o acesso a determinadas funcionalidades do site com base no uso do 2FA", disse o administrador do PyPI, Donald Stufft.

"Além disso, podemos começar a selecionar determinados usuários ou projetos para aplicação antecipada".

A aplicação também inclui mantenedores de organizações, mas não se estende a todos os usuários do serviço.

O objetivo é neutralizar as ameaças representadas pelos ataques de roubo de conta, que um invasor pode aproveitar para distribuir versões trojanizadas de pacotes populares para envenenar a cadeia de suprimentos de software e implantar malware em grande escala.

O PyPI, como outros repositórios de código aberto, como o npm, testemunhou inúmeras instâncias de malware e falsificação de pacotes.

No início deste mês, o Fortinet FortiGuard Labs descobriu mais de 30 bibliotecas Python que incorporavam vários recursos para se conectar a URLs remotos arbitrários e roubar dados sensíveis de máquinas comprometidas.

O desenvolvimento ocorre quase um ano depois que o PyPI tornou o 2FA obrigatório para mantenedores de projetos críticos.

O registro é lar de 457.125 projetos e 704.458 usuários.

De acordo com o provedor de serviços de monitoramento em nuvem Datadog, 9.580 usuários e 4.541 projetos foram identificados como críticos, com um total de 38.248 usuários com 2FA ativado até o momento.

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...