GitHub nedávno vydal některé změny v ekosystému NPM v souvislosti s bezpečnostními problémy, které se objevily, a jedním z nejnovějších bylo, že se některým útočníkům podařilo převzít kontrolu nad balíčkem coa NPM a vydali aktualizace 2.0.3, 2.0.4, 2.1.1, 2.1.3 a 3.1.3. XNUMX, který zahrnoval škodlivé změny.
V souvislosti s tím as rostoucím výskytem záborů úložišť velkých projektů a propagaci škodlivého kódu Prostřednictvím kompromitace vývojářských účtů GitHub zavádí rozšířené ověřování účtů.
Samostatně pro správce a administrátory 500 nejoblíbenějších balíčků NPM bude začátkem příštího roku zavedena povinná dvoufaktorová autentizace.
Od 7. prosince 2021 do 4. ledna 2022 všichni správci, kteří mají právo vydávat balíčky NPM, ale kteří nepoužívají dvoufaktorové ověření, budou převedeni na použití rozšířeného ověření účtu. Rozšířené ověření zahrnuje nutnost zadat jedinečný kód, který se odešle e-mailem při pokusu o vstup na stránku npmjs.com nebo provedení ověřené operace v nástroji npm.
Rozšířené ověřování nenahrazuje, ale pouze doplňuje volitelné dvoufaktorové ověřování dříve dostupné, což vyžaduje ověření jednorázových hesel (TOTP). Rozšířené ověření e-mailu neplatí když je povolena dvoufaktorová autentizace. Od 1. února 2022 začne proces přechodu na povinné dvoufaktorové ověřování 100 nejoblíbenějších balíčků NPM s největším počtem závislostí.
Dnes představujeme vylepšené ověřování přihlášení v registru npm a zahájíme postupné zavádění pro správce od 7. prosince a skončí 4. ledna. Správci registru Npm, kteří mají přístup k publikování balíčků a nemají povolenou dvoufaktorovou autentizaci (2FA), obdrží e-mail s jednorázovým heslem (OTP), když se ověří prostřednictvím webu npmjs.com nebo Npm CLI.
Toto e-mailové jednorázové heslo bude muset být poskytnuto spolu s heslem uživatele před ověřením. Tato další vrstva autentizace pomáhá předcházet běžným útokům zcizení účtu, jako je vycpávání pověření, které používají prolomené a znovu použité heslo uživatele. Stojí za zmínku, že rozšířené ověřování přihlášení má být další základní ochranou pro všechny vydavatele. Není náhradou za 2FA, NIST 800-63B. Doporučujeme správcům, aby se rozhodli pro ověřování 2FA. Díky tomu nebudete muset provádět rozšířené ověřování přihlášení.
Po dokončení migrace první stovky se změna rozšíří na 500 nejoblíbenějších balíčků NPM co do počtu závislostí.
Kromě aktuálně dostupných dvoufaktorových autentizačních schémat pro generování jednorázových hesel (Authy, Google Authenticator, FreeOTP atd.) v dubnu 2022 plánují přidat možnost používat hardwarové klíče a biometrické skenery pro které existuje podpora protokolu WebAuthn a také možnost registrace a správy různých dalších autentizačních faktorů.
Připomeňme, že podle studie provedené v roce 2020 pouze 9.27 % správců balíčků používá k ochraně přístupu dvoufaktorové ověřování a ve 13.37 % případů se při registraci nových účtů vývojáři pokusili znovu použít kompromitovaná hesla, která se objevují ve známých heslech. .
Během analýzy síly hesla použitý, Bylo zpřístupněno 12 % účtů v NPM (13 % balíčků) kvůli použití předvídatelných a triviálních hesel, jako je „123456“. Mezi problémy byly 4 uživatelské účty 20 nejoblíbenějších balíčků, 13 účtů, jejichž balíčky byly staženy více než 50 milionůkrát za měsíc, 40 - více než 10 milionů stažení měsíčně a 282 účtů s více než 1 milionem stažení měsíčně. Vzhledem k zátěži modulů v řetězci závislostí by kompromitace nedůvěryhodných účtů mohla celkem ovlivnit až 52 % všech modulů v NPM.
Konečně Máte-li zájem o tom vědět více, podrobnosti můžete zkontrolovat v původní poznámce Na následujícím odkazu.