GitHub va donar a conèixer recentment alguns canvis a l'ecosistema de NPM en relació amb els problemes de seguretat que s'han estat suscitant i un dels més recents va ser que uns atacants van aconseguir aconseguir el control del paquet coa NPM i van llançar les actualitzacions 2.0.3, 2.0.4, 2.1.1, 2.1.3 i 3.1.3, que incloïen canvis maliciosos.
En relació amb això i amb la creixent incidència de la confiscació de repositoris de grans projectes i la promoció de codi maliciós a través del compromís dels comptes dels desenvolupadors, GitHub està introduint una verificació estesa de comptes.
Per separat, per als mantenidors i administradors dels 500 paquets NPM més populars, l‟autenticació obligatòria de dos factors s‟introduirà a principis del proper any.
Des del 7 de desembre del 2021 fins al 4 de gener del 2022, tots els mantenidors que tenen dret a publicar paquets NPM, però que no usen l'autenticació de dos factors, seran transferits per utilitzar la verificació de compte estès. La verificació estesa implica la necessitat d'ingressar un codi únic que s'envia per correu electrònic en intentar ingressar al lloc npmjs.com o fer una operació autenticada a la utilitat npm.
La verificació estesa no reemplaça, sinó que només complementa l'autenticació de dos factors opcional disponible anteriorment, que requereix la verificació de contrasenyes d'un sol ús (TOTP). La verificació de correu electrònic ampliada no s'aplica quan l‟autenticació de dos factors està habilitada. A partir de l'1 de febrer del 2022, començarà el procés de transferència a l'autenticació obligatòria de dos factors dels 100 paquets NPM més populars amb la major quantitat de dependències.
Avui presentem la verificació d'inici de sessió millorada al registre de npm, i començarem una implementació escalonada per als mantenidors a partir del 7 de desembre i concloent el 4 de gener. Els mantenidors del registre de npm que tenen accés per publicar paquets i no tenen autenticació de dos factors (2FA ) habilitat rebrà un correu electrònic amb una contrasenya d'un sol ús (OTP) quan s'autentiqui a través del lloc web npmjs.com o la CLI de npm.
Aquesta OTP enviada per correu electrònic s'haurà de proporcionar a més de la contrasenya abans d'autenticar-se. Aquesta capa addicional d'autenticació ajuda a prevenir atacs comuns d'apropiació de comptes, com ara el rebliment de credencials, que utilitzen la contrasenya compromesa i reutilitzada d'un usuari. Val la pena assenyalar que la verificació dinici de sessió millorada està destinada a ser una protecció bàsica addicional per a tots els editors. No és un reemplaçament per 2FA,NIST 800-63B. Encoratgem els mantenidors a optar per l'autenticació 2FA. En fer-ho, no caldrà fer una verificació d'inici de sessió millorada.
Després de completar la migració dels primers cent, el canvi es propagarà als 500 paquets NPM més populars en termes de número de dependències.
A més dels esquemes d'autenticació de dos factors disponibles actualment basats en aplicacions per generar contrasenyes d'un sol ús (Authy, Google Authenticator, FreeOTP, etc.), a l'abril de 2022, planegen afegir la capacitat d'usar claus de maquinari i escàners biomètrics per a això hi ha suport per al protocol WebAuthn, i també la capacitat de registrar i administrar diversos factors d'autenticació addicionals.
Recordem que segons un estudi realitzat el 2020, només el 9.27% dels administradors de paquets usen autenticació de dos factors per protegir l'accés, i en el 13.37% dels casos, en registrar nous comptes, els desenvolupadors van intentar reutilitzar contrasenyes compromeses que apareixen en contrasenyes conegudes.
Durant l'anàlisi de la solidesa de les contrasenyes utilitzades, es va aconseguir accedir al 12% dels comptes a NPM (13% dels paquets) a causa de l'ús de contrasenyes predictibles i trivials com a «123456». Entre les problemàtiques hi havia 4 comptes d'usuari dels 20 paquets més populars, 13 comptes els paquets dels quals es van descarregar més de 50 milions de vegades al mes, 40 – més de 10 milions de descàrregues al mes i 282 amb més d'1 milió de descàrregues al mes. Tenint en compte la càrrega de mòduls al llarg de la cadena de dependències, comprometre comptes que no són de confiança podria afectar fins al 52% de tots els mòduls a NPM en total.
Finalment si estàs interessat en poder conèixer més a l'respecte, pots consultar els detalls a la nota original en el següent enllaç.