Repository

PyPI Mengumumkan Kebijakan Untuk Wajib Menggunakan 2FA Bagi Semua Software Publisher

May 29, 2023 by Søren

PyPI, mengumumkan penggunaan otentikasi dua faktor (2FA) yang wajib bagi semua penerbit perangkat lunak. Langkah ini diambil untuk meningkatkan keamanan platform dan melindungi pengguna dari serangan peretasan.

PyPI adalah repositori sentral yang digunakan oleh pengembang Python untuk mengunggah dan mendistribusikan paket-paket perangkat lunak mereka. Dalam upaya untuk melindungi integritas dan keaslian paket yang tersedia di platform ini, PyPI telah memperkenalkan kebijakan baru yang mewajibkan penerbit perangkat lunak untuk menggunakan 2FA saat mengakses akun mereka.

Dengan menerapkan 2FA, pengguna harus memasukkan dua bentuk verifikasi saat login, biasanya berupa kombinasi antara kata sandi dan kode unik yang dihasilkan oleh aplikasi autentikasi di ponsel mereka. Dengan cara ini, kendali akses yang lebih kuat dapat diberikan kepada pemilik akun dan mengurangi risiko penyalahgunaan oleh pihak yang tidak sah.

Langkah ini merupakan langkah yang penting dalam meningkatkan keamanan lingkungan pengembangan Python. Dengan memaksa pengguna untuk menggunakan 2FA, PyPI berharap dapat mencegah serangan peretasan dan kebocoran data yang mungkin terjadi jika akun penerbit perangkat lunak dicuri atau disusupi.

Selengkapnya: Bleeping Computer

GitHub: Hacker Kloning Sertifikat Penandatanganan Kode di Repositori yang Dilanggar

January 31, 2023 by Flamango

Belum jelas bagaimana aktor ancaman mengkompromikan token akses yang digunakan dalam pelanggaran tersebut.

Penyusup tak dikenal memperoleh akses tidak sah ke beberapa repositori kode GitHub dan mencuri sertifikat penandatanganan kode untuk dua aplikasi desktopnya, Desktop dan Atom.

Satu set sertifikat penandatanganan kode terenkripsi telah diekstraksi. Namun, sertifikat itu dilindungi kata sandi dan GitHub tidak memiliki bukti penggunaan jahat. GitHub melakukan tindakan pencegahan dengan mencabut sertifikat terbuka yang digunakan untuk aplikasi GitHub Desktop dan Atom.

Pencabutan ini akan menyebabkan beberapa versi aplikasi berhenti bekerja. Aplikasi tersebut adalah GitHub Desktop untuk Mac dengan versi 3.0.2 hingga 3.1.2, dan Atom pada versi 1.63.1 dan 1.63.0, sedangkan Desktop untuk Windows tidak terpengaruh.

GitHub sedang bekerja dengan Apple untuk memantau setiap file baru yang dapat dieksekusi (seperti aplikasi) yang ditandatangani dengan sertifikat terbuka.

Tanpa pencabutan, aplikasi semacam itu akan lulus pemeriksaan tanda tangan. Pencabutan memiliki efek membuat semua kode gagal dalam pemeriksaan tanda tangan, tidak peduli kapan ditandatangani.

Pelaku ancaman menggunakan token akses pribadi (PAT) yang dikompromikan untuk mengkloning repositori untuk Desktop, Atom, dan organisasi milik GitHub yang sudah tidak digunakan lagi.

GitHub mencabut PAT sehari kemudian setelah menemukan pelanggaran tersebut. Tak satu pun dari repositori yang dikloning berisi data pelanggan. Tidak ada bukti bahwa pelaku ancaman dapat mendekripsi atau menggunakan salah satu sertifikat.

Selengkapnya: arsTECHNICA

Repositori Open-source Dibanjiri Oleh 144.000 Package Phishing

December 15, 2022 by Coffee Bean

Unknown threat actors have uploaded a massive 144,294 phishing-related packages on open-source package repositories, inluding NPM, PyPi, and NuGet.

Serangan skala besar dihasilkan dari otomatisasi, karena paket diunggah dari akun menggunakan skema penamaan tertentu, menampilkan deskripsi serupa, dan mengarah ke kelompok yang sama dari 90 domain yang menampung lebih dari 65.000 halaman phishing.

Operasi besar-besaran
NuGet memiliki bagian terbesar dari unggahan paket berbahaya, terhitung 136.258, PyPI memiliki 7.894 infeksi, dan NPM hanya memiliki 212.

Paket phishing diunggah di trove dalam beberapa hari, yang umumnya merupakan tanda aktivitas berbahaya.

Diagram unggahan paket berbahaya (Checkmarx)

URL ke situs phishing ditanamkan dalam deskripsi paket, dengan harapan tautan dari repositori akan meningkatkan SEO situs phishing mereka.

Deskripsi paket ini juga mendesak pengguna untuk mengeklik tautan untuk mendapatkan info lebih lanjut tentang dugaan kode kartu hadiah, aplikasi, alat peretasan, dll.

Hampir semua situs tersebut meminta pengunjung untuk memasukkan email, nama pengguna, dan kata sandi akun mereka, yang merupakan tempat terjadinya langkah phishing.

Ini memulai serangkaian pengalihan ke situs survei, akhirnya mendarat di situs web e-niaga yang sah menggunakan tautan afiliasi, begitulah cara pelaku ancaman menghasilkan pendapatan dari kampanye.

Peneliti keamanan yang menemukan kampanye ini memberi tahu NuGet tentang infeksi tersebut, dan semua paket telah dihapus dari daftar.

Namun, mengingat metode otomatis yang digunakan oleh pelaku ancaman untuk mengunggah sejumlah besar paket dalam waktu singkat, mereka dapat memperkenalkan kembali ancaman tersebut menggunakan akun baru dan nama paket yang berbeda kapan saja.

Untuk daftar lengkap URL yang digunakan dalam kampanye ini, lihat file teks IoC ini di GitHub.

sumber : bleeping computer

130 Github Repositori Dicuri dari Dropbox oleh Hacker

November 2, 2022 by Coffee Bean

Dropbox mengungkapkan pelanggaran keamanan setelah pelaku ancaman mencuri 130 repositori kode setelah mendapatkan akses ke salah satu akun GitHub-nya menggunakan kredensial karyawan yang dicuri dalam serangan phishing.

Perusahaan menemukan penyerangan akun pada 14 Oktober ketika GitHub memberi tahunya tentang aktivitas mencurigakan yang dimulai sehari sebelum peringatan dikirim.

“Kode dan data di sekitarnya juga mencakup beberapa ribu nama dan alamat email milik karyawan Dropbox, pelanggan saat ini dan sebelumnya, prospek penjualan, dan vendor (untuk konteksnya, Dropbox memiliki lebih dari 700 juta pengguna terdaftar).”

serangan phishing yang menargetkan beberapa karyawan Dropbox menggunakan email yang meniru platform integrasi dan pengiriman berkelanjutan CircleCI dan mengarahkan mereka ke halaman arahan phishing di mana mereka diminta untuk memasukkan nama pengguna dan kata sandi GitHub mereka.

karyawan juga diminta untuk “menggunakan kunci otentikasi perangkat keras mereka untuk memberikan One Time Password (OTP).”

Email phishing yang meniru CircleCI (BleepingComputer)

130 kode repositori telah dicuri saat pemberantasan

penyerang memperoleh akses ke salah satu organisasi GitHub Dropbox dan mencuri 130 repositori kodenya.

“Yang penting, mereka tidak menyertakan kode untuk aplikasi atau infrastruktur inti kami. Akses ke repositori itu bahkan lebih terbatas dan dikontrol dengan ketat.”

Dropbox menambahkan bahwa penyerang tidak pernah memiliki akses ke akun pelanggan, kata sandi, atau informasi pembayaran, dan aplikasi serta infrastruktur intinya tidak terpengaruh akibat pelanggaran ini.

Menanggapi insiden tersebut, Dropbox berupaya mengamankan seluruh lingkungannya menggunakan WebAuthn dan token perangkat keras atau faktor biometrik.

Pada bulan September, pengguna GitHub lainnya juga menjadi sasaran dalam serangan serupa yang meniru platform CircleCI dan meminta mereka untuk masuk ke akun GitHub mereka untuk menerima persyaratan pengguna dan pembaruan kebijakan privasi untuk tetap menggunakan layanan.

“Sementara GitHub sendiri tidak terpengaruh, kampanye tersebut telah berdampak pada banyak organisasi korban,” kata GitHub dalam sebuah nasihat saat itu.

GitHub mengatakan mendeteksi eksfiltrasi konten dari repositori pribadi segera setelah kompromi, dengan pelaku ancaman menggunakan VPN atau layanan proxy untuk membuat pelacakan lebih sulit.

sumber : bleeping computer

Server Git PHP diretas untuk menambahkan backdoor ke kode sumber PHP

March 29, 2021 by Winnie the Pooh

Dalam serangan rantai pasokan perangkat lunak terbaru, repositori resmi PHP Git diretas dan basis kode dirusak. Kemarin, dua komit berbahaya didorong ke repositori php-src Git yang dikelola oleh tim PHP di server git.php.net mereka. Aktor ancaman telah menandatangani komitmen ini seolah-olah ini dibuat oleh pengembang dan pengelola PHP terkenal, Rasmus Lerdorf dan Nikita Popov.

Backdoor RCE ditanam di server PHP Git
Dalam upaya untuk mengkompromikan basis kode PHP, dua komit berbahaya didorong ke repositori resmi PHP Git kemarin.

Insiden ini mengkhawatirkan mengingat PHP tetap menjadi bahasa pemrograman sisi server yang menguasai 79% situs web di Internet.

Penyerang mengupload perubahan misterius”perbaiki kesalahan ketik” dengan dalih koreksi tipografi kecil.

Namun, perhatikan baris 370 yang ditambahkan di mana fungsi zend_eval_string dipanggil, kode sebenarnya menanamkan backdoor untuk mendapatkan Remote Code Execution (RCE) yang mudah di situs web yang menjalankan versi PHP yang dibajak ini.

“Baris ini mengeksekusi kode PHP dari dalam header HTTP agen pengguna, jika string dimulai dengan ‘zerodium’,” kata pengembang PHP, Jake Birchall.

Selain itu, komit berbahaya dibuat atas nama pembuat PHP, Rasmus Lerdorf.

Tapi, itu tidak mengherankan karena dengan sistem kendali versi kode sumber seperti Git, adalah mungkin untuk menandatangani komit yang berasal dari orang lain secara lokal dan kemudian mengunggah komit yang dipalsukan ke server Git jarak jauh, di mana itu memberikan kesan sebagai jika memang telah ditandatangani oleh orang yang disebutkan di atasnya.

Meskipun penyelidikan lengkap atas insiden tersebut sedang berlangsung, menurut pengelola PHP, aktivitas berbahaya ini berasal dari server git.php.net yang disusupi, bukan akun Git individu.

Tim PHP juga merilis pernyataan rsmi seperti yang dilihat pada situs ini

Source : BleepingComputer

Kerentanan keamanan perangkat lunak open-source ada selama lebih dari empat tahun sebelum terdeteksi

December 4, 2020 by Winnie the Pooh

Diperlukan rata-rata lebih dari empat tahun untuk menemukan kerentanan dalam perangkat lunak open source, area dalam komunitas keamanan yang perlu ditangani, kata para peneliti.

Menurut laporan State of the Octoverse tahunan GitHub, yang diterbitkan pada hari Rabu, ketergantungan pada proyek open source, komponen, dan library lebih umum dari sebelumnya.

Selama tahun 2020, GitHub menghitung lebih dari 56 juta pengembang di platform, dengan lebih dari 60 juta repositori baru sedang dibuat – dan lebih dari 1,9 miliar kontribusi ditambahkan – sepanjang tahun.

Dibandingkan dengan 2019, GitHub menemukan bahwa 94% proyek sekarang mengandalkan komponen open source, dengan rata-rata hampir 700 dependensi.

Rata-rata, kerentanan bisa tidak terdeteksi selama lebih dari empat tahun dalam proyek open source sebelum pengungkapan. Perbaikan kemudian biasanya tersedia hanya dalam waktu sebulan, yang menurut GitHub “menunjukkan peluang yang jelas untuk meningkatkan deteksi kerentanan”.

Namun, mayoritas bug dalam perangkat lunak open source tidak berbahaya. Sebaliknya, 83% dari peringatan CVE yang dikeluarkan oleh GitHub disebabkan oleh kesalahan dan human error – meskipun pelaku ancaman masih dapat memanfaatkannya untuk tujuan jahat.

Secara total, 17% kerentanan dianggap berbahaya – seperti varian backdoor – tetapi ini hanya memicu 0,2% peringatan, karena paling sering ditemukan dalam paket yang ditinggalkan atau jarang digunakan.

Menurut GitHub, 59% repositori aktif di platform akan menerima peringatan keamanan di tahun mendatang. Selama tahun 2020, Ruby dan JavaScript adalah yang paling mungkin menerima peringatan.

Sumber: ZDNet

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Repository

Cookies Settings