GitHub udgav for nylig nogle ændringer til NPM-økosystemet i forhold til de sikkerhedsproblemer, der har opstået, og en af de seneste var, at nogle angribere formåede at tage kontrol over coa NPM-pakken og udgav opdateringerne 2.0.3, 2.0.4, 2.1.1, 2.1.3 og 3.1.3. XNUMX, som omfattede ondsindede ændringer.
I forhold til dette og med den stigende forekomst af depotbeslaglæggelser af store projekter og promovering af ondsindet kode Gennem kompromittering af udviklerkonti introducerer GitHub udvidet kontobekræftelse.
Separat, for vedligeholdere og administratorer af de 500 mest populære NPM-pakker, vil obligatorisk to-faktor-godkendelse blive introduceret tidligt næste år.
Fra 7. december 2021 til 4. januar 2022, alle vedligeholdere, der har ret til at frigive NPM-pakker, men som ikke bruger to-faktor-godkendelse, vil blive overført til at bruge udvidet kontobekræftelse. Udvidet verifikation involverer behovet for at indtaste en unik kode, der sendes via e-mail, når du forsøger at gå ind på npmjs.com-webstedet eller udføre en godkendt handling i npm-værktøjet.
Udvidet verifikation erstatter ikke, men supplerer kun valgfri tofaktorautentificering tidligere tilgængelig, hvilket kræver verifikation af engangskodeord (TOTP). Udvidet e-mailbekræftelse gælder ikke når to-faktor-godkendelse er aktiveret. Fra den 1. februar 2022 begynder processen med at gå til obligatorisk to-faktor-godkendelse af de 100 mest populære NPM-pakker med flest afhængigheder.
I dag introducerer vi den forbedrede login-bekræftelse i npm-registret, og vi begynder en forskudt udrulning for vedligeholdere, der starter den 7. december og slutter den 4. januar. Npm-registry-vedligeholdere, der har adgang til at udgive pakker og ikke har tofaktorautentificering (2FA) aktiveret, vil modtage en e-mail med en engangsadgangskode (OTP), når de godkendes via npmjs.com-webstedet eller Npm CLI.
Denne e-mailede OTP skal angives ud over brugerens adgangskode før godkendelse. Dette ekstra lag af godkendelse hjælper med at forhindre almindelige kontokapringangreb, såsom loginoplysninger, der bruger en brugers kompromitterede og genbrugte adgangskode. Det er værd at bemærke, at Enhanced Login Verification er beregnet til at være en ekstra grundlæggende beskyttelse for alle udgivere. Det er ikke en erstatning for 2FA, NIST 800-63B. Vi opfordrer vedligeholdere til at vælge 2FA-godkendelse. Ved at gøre dette behøver du ikke udføre en forbedret login-verifikation.
Efter at have gennemført migreringen af de første hundrede, vil ændringen blive spredt til de 500 mest populære NPM-pakker i forhold til antallet af afhængigheder.
Ud over de aktuelt tilgængelige applikationsbaserede to-faktor-godkendelsesordninger til generering af engangsadgangskoder (Authy, Google Authenticator, FreeOTP osv.), i april 2022 planlægger de at tilføje muligheden for at bruge hardwarenøgler og biometriske scannere hvortil der er understøttelse af WebAuthn-protokollen, samt mulighed for at registrere og administrere forskellige yderligere autentificeringsfaktorer.
Husk på, at ifølge en undersøgelse udført i 2020, bruger kun 9.27 % af pakkeadministratorerne tofaktorautentificering til at beskytte adgangen, og i 13.37 % af tilfældene, når de registrerede nye konti, forsøgte udviklere at genbruge kompromitterede adgangskoder, der vises i kendte adgangskoder .
Under analyse af adgangskodestyrke Brugt, 12 % af konti i NPM blev tilgået (13 % af pakkerne) på grund af brugen af forudsigelige og trivielle adgangskoder såsom "123456". Blandt problemerne var 4 brugerkonti af de 20 mest populære pakker, 13 konti, hvis pakker blev downloadet mere end 50 millioner gange om måneden, 40 - mere end 10 millioner downloads om måneden og 282 med mere end 1 million downloads om måneden. I betragtning af belastningen af moduler langs kæden af afhængigheder kan kompromittering af upålidelige konti påvirke op til 52 % af alle moduler i NPM i alt.
Endelig Hvis du er interesseret i at vide mere om det, du kan tjekke detaljerne i den originale note I det følgende link.