GitHub je nedavno objavio neke promjene u NPM ekosistemu u vezi sa sigurnosnim problemima koji su se pojavili, a jedan od najnovijih je da su neki napadači uspjeli preuzeti kontrolu nad coa NPM paketom i objavili ažuriranja 2.0.3, 2.0.4, 2.1.1, 2.1.3 i 3.1.3. XNUMX, koji uključuje zlonamjerne promjene.
U vezi s tim i sa sve većom učestalošću zapljena u spremištima velikih projekata i promoviranje zlonamjernog koda Kompromitovanjem naloga programera, GitHub uvodi proširenu verifikaciju naloga.
Odvojeno, za održavaoce i administratore 500 najpopularnijih NPM paketa, obavezna dvofaktorska autentifikacija bit će uvedena početkom sljedeće godine.
Od 7. decembra 2021. do 4. januara 2022. svi održavaoci koji imaju pravo da izdaju NPM pakete, ali koji ne koriste dvofaktorsku autentifikaciju, bit će prebačeni na korištenje proširene verifikacije računa. Proširena verifikacija uključuje potrebu za unosom jedinstvenog koda koji se šalje putem e-pošte kada pokušavate ući na npmjs.com stranicu ili izvršiti operaciju provjere autentičnosti u npm uslužnom programu.
Proširena verifikacija ne zamjenjuje, već samo dopunjuje opcionu dvofaktorsku autentifikaciju prethodno dostupno, što zahtijeva provjeru jednokratnih lozinki (TOTP). Produžena potvrda e-pošte se ne primjenjuje kada je omogućena dvofaktorska autentifikacija. Od 1. februara 2022. počinje proces prelaska na obaveznu dvofaktorsku autentifikaciju 100 najpopularnijih NPM paketa sa najviše zavisnosti.
Danas uvodimo poboljšanu verifikaciju prijavljivanja u npm registar, i započećemo postepeno uvođenje za održavaoce počevši od 7. decembra i zaključno sa 4. januarom. Održavači Npm registra koji imaju pristup paketima za objavljivanje i nemaju omogućenu dvofaktorsku autentifikaciju (2FA) primit će e-poštu s jednokratnom lozinkom (OTP) kada se autentifikuju putem web stranice npmjs.com ili Npm CLI.
Ovaj OTP poslat e-poštom morat će se dostaviti uz korisničku lozinku prije autentifikacije. Ovaj dodatni sloj provjere autentičnosti pomaže u sprječavanju uobičajenih napada otmice računa, kao što je punjenje vjerodajnica, koji koriste kompromitovanu i ponovno korištenu lozinku korisnika. Vrijedi napomenuti da je poboljšana provjera prijave zamišljena kao dodatna osnovna zaštita za sve izdavače. Nije zamjena za 2FA, NIST 800-63B. Podstičemo održavaoce da se odluče za 2FA autentifikaciju. Čineći to, nećete morati izvršiti poboljšanu verifikaciju prijave.
Nakon završetka migracije prvih stotinu, promjena će biti propagirana na 500 najpopularnijih NPM paketa u smislu broja zavisnosti.
Pored trenutno dostupnih dvofaktorskih šema autentifikacije zasnovanih na aplikaciji za generiranje jednokratnih lozinki (Authy, Google Authenticator, FreeOTP, itd.), u aprilu 2022. planiraju dodati mogućnost korištenja hardverskih ključeva i biometrijskih skenera za koji postoji podrška za WebAuthn protokol, kao i mogućnost registracije i upravljanja raznim dodatnim faktorima autentifikacije.
Podsjetimo, prema studiji provedenoj 2020. godine, samo 9.27% menadžera paketa koristi dvofaktorsku autentifikaciju za zaštitu pristupa, a u 13.37% slučajeva, prilikom registracije novih naloga, programeri su pokušali ponovo koristiti ugrožene lozinke koje se pojavljuju u poznatim lozinkama. .
Tokom analize jačine lozinke korišteno, Pristupljeno je 12% računa u NPM-u (13% paketa) zbog upotrebe predvidljivih i trivijalnih lozinki kao što je "123456". Među problemima su bila 4 korisnička naloga od 20 najpopularnijih paketa, 13 naloga čiji su paketi preuzimani više od 50 miliona puta mesečno, 40 - više od 10 miliona preuzimanja mesečno i 282 sa više od milion preuzimanja mesečno. Uzimajući u obzir opterećenje modula duž lanca zavisnosti, kompromitovanje nepouzdanih naloga može uticati na do 1% svih modula u NPM-u ukupno.
Konačno Ako ste zainteresirani da saznate više o tome, detalje možete provjeriti u originalnoj napomeni Na sledećem linku.