GitHub hat kürzlich einige Änderungen am NPM-Ökosystem veröffentlicht in Bezug auf die aufgetretenen Sicherheitsprobleme und eines der jüngsten war, dass es einigen Angreifern gelang, die Kontrolle über das coa NPM-Paket zu erlangen und die Updates 2.0.3, 2.0.4, 2.1.1, 2.1.3 und 3.1.3 veröffentlichten. XNUMX, die böswillige Änderungen enthielt.
In diesem Zusammenhang und mit der zunehmenden Häufigkeit von Lagerbeschlagnahmen von großen Projekten und Förderung von bösartigem Code Durch die Kompromittierung von Entwicklerkonten führt GitHub eine erweiterte Kontoverifizierung ein.
Unabhängig davon wird für Betreuer und Administratoren der 500 beliebtesten NPM-Pakete Anfang nächsten Jahres eine obligatorische Zwei-Faktor-Authentifizierung eingeführt.
Vom 7. Dezember 2021 bis 4. Januar 2022, alle Betreuer, die das Recht haben, NPM-Pakete zu veröffentlichen, aber die keine Zwei-Faktor-Authentifizierung verwenden, werden zur Verwendung der erweiterten Kontoverifizierung weitergeleitet. Bei der erweiterten Überprüfung muss ein eindeutiger Code eingegeben werden, der per E-Mail gesendet wird, wenn versucht wird, die Site npmjs.com aufzurufen oder einen authentifizierten Vorgang im npm-Dienstprogramm durchzuführen.
Erweiterte Verifizierung ersetzt nicht, sondern ergänzt nur die optionale Zwei-Faktor-Authentifizierung zuvor verfügbar, was die Überprüfung von Einmalpasswörtern (TOTP) erfordert. Erweiterte E-Mail-Verifizierung entfällt wenn die Zwei-Faktor-Authentifizierung aktiviert ist. Ab dem 1. Februar 2022 beginnt der Prozess der Umstellung auf die obligatorische Zwei-Faktor-Authentifizierung der 100 beliebtesten NPM-Pakete mit den meisten Abhängigkeiten.
Heute führen wir die verbesserte Login-Verifizierung in der npm-Registry ein und starten vom 7. Dezember bis zum 4. Januar einen gestaffelten Rollout für Betreuer. Npm-Registry-Betreuer, die Zugriff auf die Veröffentlichung von Paketen haben und die Zwei-Faktor-Authentifizierung (2FA) nicht aktiviert haben, erhalten eine E-Mail mit einem Einmalpasswort (OTP), wenn sie sich über die Website npmjs.com oder die Npm-CLI authentifizieren.
Dieses per E-Mail gesendete OTP muss vor der Authentifizierung zusätzlich zum Kennwort des Benutzers bereitgestellt werden. Diese zusätzliche Authentifizierungsebene trägt dazu bei, gängige Konto-Hijacking-Angriffe wie Credential Stuffing zu verhindern, bei denen das kompromittierte und wiederverwendete Passwort eines Benutzers verwendet wird. Es ist erwähnenswert, dass die erweiterte Login-Überprüfung als zusätzlicher Basisschutz für alle Publisher gedacht ist. Es ist kein Ersatz für 2FA, NIST 800-63B. Wir empfehlen Betreuern, sich für die 2FA-Authentifizierung zu entscheiden. Auf diese Weise müssen Sie keine erweiterte Login-Verifizierung durchführen.
Nach Abschluss der Migration der ersten hundert wird die Änderung auf die 500 beliebtesten NPM-Pakete übertragen in Bezug auf die Anzahl der Abhängigkeiten.
Neben den derzeit verfügbaren anwendungsbasierten Zwei-Faktor-Authentifizierungsschemata zur Generierung von Einmalpasswörtern (Authy, Google Authenticator, FreeOTP etc.) im April 2022 planen sie, die Möglichkeit zur Verwendung von Hardwareschlüsseln und biometrischen Scannern hinzuzufügen. für die das WebAuthn-Protokoll unterstützt wird, sowie die Möglichkeit, verschiedene zusätzliche Authentifizierungsfaktoren zu registrieren und zu verwalten.
Denken Sie daran, dass laut einer Studie aus dem Jahr 2020 nur 9.27% der Paketmanager die Zwei-Faktor-Authentifizierung zum Schutz des Zugriffs verwenden und in 13.37 % der Fälle bei der Registrierung neuer Konten versuchten, kompromittierte Passwörter wiederzuverwenden, die in bekannten Passwörtern vorkommen .
Während der Passwortstärkeanalyse Gebraucht, Auf 12% der Konten in NPM wurde zugegriffen (13% der Pakete) aufgrund der Verwendung vorhersehbarer und trivialer Passwörter wie "123456". Zu den Problemen gehörten 4 Benutzerkonten der 20 beliebtesten Pakete, 13 Konten, deren Pakete mehr als 50 Millionen Mal pro Monat heruntergeladen wurden, 40 - mehr als 10 Millionen Downloads pro Monat und 282 mit mehr als 1 Million Downloads pro Monat. In Anbetracht der Modullast entlang der Abhängigkeitskette könnte die Kompromittierung nicht vertrauenswürdiger Konten insgesamt bis zu 52 % aller Module in NPM betreffen.
Schließlich Wenn Sie mehr darüber erfahren möchten, Sie können die Details in der Originalnotiz überprüfen im folgenden Link.