PyPI, il repository ufficiale di software di terze parti, sta richiedendo a tutti gli account che mantengono progetti nel repository di attivare l’autenticazione a due fattori (2FA) entro la fine dell’anno. Ciò include i responsabili delle organizzazioni, ma non tutti gli utenti del servizio. L’obiettivo è quello di proteggersi da attacchi di prendere possesso dell’account, che un attaccante può utilizzare per diffondere malware. PyPI ha visto molti esempi di malware e di impersonificazione dei pacchetti. Recentemente, Fortinet FortiGuard Labs ha scoperto oltre 30 librerie Python che si collegavano a URL remoti e rubavano dati. Questo requisito arriva quasi un anno dopo che PyPI ha reso obbligatorio l’2FA per i responsabili critici dei progetti. Attualmente, ci sono 457.125 progetti e 704.458 utenti, con 9.580 utenti e 4.541 progetti identificati come critici e 2FA abilitati per 38.248 utenti.
Source: Hackernews
Per mitigare potenziali minacce, è importante implementare ulteriori misure di sicurezza informatica con l’aiuto di un partner affidabile come INFRA www.infrascan.net o è possibile provarci da soli utilizzando check.website.