أصدر GitHub مؤخرًا بعض التغييرات على النظام البيئي NPM فيما يتعلق بمشاكل الأمان التي ظهرت ، وكان من أحدثها أن بعض المهاجمين تمكنوا من السيطرة على حزمة coa NPM وأصدروا التحديثات 2.0.3 و 2.0.4 و 2.1.1 و 2.1.3 و 3.1.3. XNUMX ، والتي تضمنت تغييرات خبيثة.
فيما يتعلق بهذا ومع تزايد حدوث نوبات المستودعات من المشاريع الكبيرة والترويج للشفرات الخبيثة من خلال اختراق حسابات المطورين ، تقدم GitHub إمكانية التحقق من الحساب الموسعة.
بشكل منفصل ، سيتم تقديم المصادقة الثنائية الإلزامية للمشرفين والمسؤولين عن أكثر 500 حزمة NPM شيوعًا في أوائل العام المقبل.
من 7 ديسمبر 2021 إلى 4 يناير 2022 ، جميع المشرفين الذين لديهم الحق في إصدار حزم NPM ، ولكن الذين لا يستخدمون المصادقة الثنائية ، سيتم نقلهم لاستخدام التحقق الممتد من الحساب. يتضمن التحقق الممتد الحاجة إلى إدخال رمز فريد يتم إرساله عبر البريد الإلكتروني عند محاولة الدخول إلى موقع npmjs.com أو إجراء عملية مصادقة في الأداة المساعدة npm.
لا يحل التحقق الممتد محل المصادقة الثنائية الاختيارية ولكنه يكملها فقط متوفرة مسبقًا ، والتي تتطلب التحقق من كلمات المرور لمرة واحدة (TOTP). تمديد التحقق من البريد الإلكتروني لا ينطبق عند تمكين المصادقة الثنائية. بدءًا من 1 فبراير 2022 ، ستبدأ عملية الانتقال إلى المصادقة الثنائية الإلزامية لأكثر 100 حزمة NPM شيوعًا مع معظم التبعيات.
نقدم اليوم التحقق المحسّن من تسجيل الدخول في سجل npm ، وسنبدأ طرحًا متقطعًا للمشرفين بدءًا من 7 كانون الأول (ديسمبر) وحتى 4 كانون الثاني (يناير). سيتلقى مشرفو سجل Npm الذين لديهم حق الوصول إلى حزم النشر وليس لديهم مصادقة ثنائية (2FA) ممكنة ، بريدًا إلكترونيًا بكلمة مرور لمرة واحدة (OTP) عندما يقومون بالمصادقة من خلال موقع الويب npmjs.com أو Npm CLI.
يجب توفير OTP عبر البريد الإلكتروني بالإضافة إلى كلمة مرور المستخدم قبل المصادقة. تساعد طبقة المصادقة الإضافية هذه على منع الهجمات الشائعة لاختراق الحسابات ، مثل حشو بيانات الاعتماد ، التي تستخدم كلمة مرور المستخدم المخترقة والمعاد استخدامها. تجدر الإشارة إلى أن التحقق المحسّن من تسجيل الدخول يُقصد به أن يكون حماية أساسية إضافية لجميع الناشرين. إنه ليس بديلاً عن 2FA ، NIST 800-63B. نحن نشجع المشرفين على اختيار مصادقة 2FA. من خلال القيام بذلك ، لن تحتاج إلى إجراء تحقق محسّن لتسجيل الدخول.
بعد الانتهاء من ترحيل أول مائة ، سيتم نشر التغيير على 500 حزمة NPM الأكثر شيوعًا من حيث عدد التبعيات.
بالإضافة إلى أنظمة المصادقة الثنائية القائمة على التطبيق والمتاحة حاليًا لإنشاء كلمات مرور لمرة واحدة (Authy و Google Authenticator و FreeOTP وما إلى ذلك) ، في أبريل 2022 ، يخططون لإضافة القدرة على استخدام مفاتيح الأجهزة والماسحات الضوئية البيومترية التي يتوفر لها دعم لبروتوكول WebAuthn ، بالإضافة إلى القدرة على التسجيل وإدارة العديد من عوامل المصادقة الإضافية.
تذكر أنه وفقًا لدراسة أجريت في عام 2020 ، يستخدم 9.27٪ فقط من مديري الحزم مصادقة ثنائية لحماية الوصول ، وفي 13.37٪ من الحالات ، عند تسجيل حسابات جديدة ، حاول المطورون إعادة استخدام كلمات المرور المخترقة التي تظهر في كلمات المرور المعروفة .
أثناء تحليل قوة كلمة المرور تستخدم، تم الوصول إلى 12٪ من الحسابات في NPM (13٪ من الحزم) بسبب استخدام كلمات مرور تافهة ومتوقعة مثل "123456". ومن بين المشكلات ، كانت هناك 4 حسابات مستخدمين من أكثر 20 حزمة شيوعًا ، و 13 حسابًا تم تنزيل حزمها أكثر من 50 مليون مرة شهريًا ، و 40 حسابًا - أكثر من 10 ملايين تنزيل شهريًا و 282 مع أكثر من مليون عملية تنزيل شهريًا. بالنظر إلى حمل الوحدات على طول سلسلة التبعيات ، فإن المساس بالحسابات غير الموثوق بها يمكن أن يؤثر على ما يصل إلى 1٪ من جميع الوحدات في NPM بشكل إجمالي.
أخيرا إذا كنت مهتمًا بمعرفة المزيد عنها ، يمكنك التحقق من التفاصيل في الملاحظة الأصلية في الرابط التالي.