PyPI implementa la autenticación obligatoria de dos factores

El Python Package Index (PyPI) anunció la semana pasada que cada cuenta que mantenga un proyecto en el repositorio oficial de software de terceros deberá activar la autenticación de dos factores (2FA) para fin de año.

"Entre ahora y fin de año, PyPI comenzará a bloquear el acceso a ciertas funcionalidades del sitio en función del uso de 2FA", dijo el administrador de PyPI, Donald Stufft. "Además, podemos comenzar a seleccionar ciertos usuarios o proyectos para la aplicación temprana".

La aplicación también incluye a los mantenedores de la organización, pero no se extiende a todos los usuarios del servicio.

El objetivo es neutralizar las amenazas planteadas por los ataques de adquisición de cuentas, que un atacante puede aprovechar para distribuir versiones troyanizadas de paquetes populares para envenenar la cadena de suministro de software e implementar malware a gran escala.

PyPI, al igual que otros repositorios de código abierto como npm, ha sido testigo de innumerables casos de malware y suplantación de paquetes.

A principios de este mes, Fortinet FortiGuard Labs descubrió más de 30 bibliotecas de Python que incorporaban varias características para conectarse a URL remotas arbitrarias y robar datos confidenciales de máquinas comprometidas.

El desarrollo se produce casi un año después de que PyPI hiciera obligatoria la 2FA para los mantenedores críticos del proyecto. El registro alberga 457.125 proyectos y 704.458 usuarios.

Según el proveedor de servicios de monitoreo en la nube Datadog, 9,580 usuarios y 4,541 proyectos han sido identificados como críticos, con 2FA habilitado en total para 38,248 usuarios hasta la fecha.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta