聚焦源代码安全,网罗国内外最新资讯!
数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。
随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。
为此,我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯,分析供应链安全风险,提供缓解建议,为供应链安全保驾护航。
注:以往发布的部分供应链安全相关内容,请见文末“推荐阅读”部分。
PyPI 仓库的维护人员宣布称正在检查过期域名,以防御供应链攻击。
Python 软件基金会 (PSF) 的PyPI 安全和安全工程师 Mike Fiedler 表示,“这些变更改善了PyPI 的整体账号安全态势,使攻击者更难以利用过期域名获得对账号的越权访问权限。”
本次最新更新旨在解决域名复活攻击。当恶意人员购买一个过期域并通过密码重置的方式控制 PyPI 账号时,就会触发该攻击。PyPI 表示自2025年6月早期开始,只要邮件地址与进入过期阶段的域名相关联,邮件地址的验证就会失败,目前PyPI已取消对1800多个邮件地址的认证。虽然这并非万无一失的解决方案,但它有助于清除一个严重的软件供应链攻击向量,而该向量看似合法且难以检测。
邮件地址与域名绑定,而如果未付费,域名就会失效,对通过开源注册表分发的程序包带来严重风险。如果这些包被其维护人员早已弃用但却仍由下游开发人员大量使用,则威胁巨大。
PyPI 用户在账号注册阶段需要验证其邮件地址的有效性,以确保所提供的地址有效且可访问。但当域名过期时,该防御层就会被有效中和,从而导致攻击者购买该域名并初始化密码重置请求并发送到攻击者收件箱(而非该程序包的真正所有人)。
之后,威胁人员所需做的就是按照步骤获得与该域名相关账号的访问权限。过期域名所带来的威胁始于2022年,当时一名未具名攻击者人员购买了 ctx PyPI 包维护人员使用的域名,获得访问该账号的权限并将恶意版本发布到仓库。
PyPI 采取的这项最新措施旨在防御此类账号接管场景并“在邮件域名确实过期和易手后,将潜在暴露最小化,不管该账号是否启用了双因素认证”。值得注意的是,这些攻击仅适用于通过具有自定义域名的邮件地址注册的账号 。
PyPI 表示正在使用 Fastly 公司的Status API每隔30天查询一次域名的状态,当发现域名过期时就会标记出相应的邮件地址。建议Python 包管理器用户启用双因素认证 (2FA) ;如果这些账号仅拥有来自自定义域名的单个已验证邮件地址时,增加来自另外一个可信域名如Gamil或Outlook 的第二个经验证的邮件地址。
NPM “意外” 删除 Stylus 合法包 全球流水线和构建被迫中断
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~