Το GitHub κυκλοφόρησε πρόσφατα ορισμένες αλλαγές στο οικοσύστημα NPM σε σχέση με τα προβλήματα ασφαλείας που έχουν προκύψει και ένα από τα πιο πρόσφατα ήταν ότι ορισμένοι εισβολείς κατάφεραν να πάρουν τον έλεγχο του πακέτου coa NPM και κυκλοφόρησαν τις ενημερώσεις 2.0.3, 2.0.4, 2.1.1, 2.1.3 και 3.1.3. XNUMX, το οποίο περιλάμβανε κακόβουλες αλλαγές.
Σε σχέση με αυτό και με την αυξανόμενη συχνότητα των κατασχέσεων αποθετηρίων των μεγάλων έργων και την προώθηση κακόβουλου κώδικα Μέσω της παραβίασης των λογαριασμών προγραμματιστών, το GitHub εισάγει την εκτεταμένη επαλήθευση λογαριασμού.
Ξεχωριστά, για τους συντηρητές και τους διαχειριστές των 500 πιο δημοφιλών πακέτων NPM, ο υποχρεωτικός έλεγχος ταυτότητας δύο παραγόντων θα εισαχθεί στις αρχές του επόμενου έτους.
Από τις 7 Δεκεμβρίου 2021 έως τις 4 Ιανουαρίου 2022, όλοι οι συντηρητές που έχουν το δικαίωμα να απελευθερώνουν πακέτα NPM, αλλά όσοι δεν χρησιμοποιούν έλεγχο ταυτότητας δύο παραγόντων, θα μεταφερθούν στη χρήση εκτεταμένης επαλήθευσης λογαριασμού. Η εκτεταμένη επαλήθευση περιλαμβάνει την ανάγκη εισαγωγής ενός μοναδικού κωδικού που αποστέλλεται μέσω email όταν προσπαθείτε να εισέλθετε στον ιστότοπο npmjs.com ή να εκτελέσετε μια λειτουργία ελέγχου ταυτότητας στο βοηθητικό πρόγραμμα npm.
Η εκτεταμένη επαλήθευση δεν αντικαθιστά, αλλά συμπληρώνει μόνο τον προαιρετικό έλεγχο ταυτότητας δύο παραγόντων ήταν προηγουμένως διαθέσιμο, το οποίο απαιτεί επαλήθευση κωδικών πρόσβασης μίας χρήσης (TOTP). Η εκτεταμένη επαλήθευση email δεν ισχύει όταν είναι ενεργοποιημένος ο έλεγχος ταυτότητας δύο παραγόντων. Από την 1η Φεβρουαρίου 2022, θα ξεκινήσει η διαδικασία μετάβασης στον υποχρεωτικό έλεγχο ταυτότητας δύο παραγόντων για τα 100 πιο δημοφιλή πακέτα NPM με τις περισσότερες εξαρτήσεις.
Σήμερα παρουσιάζουμε τη βελτιωμένη επαλήθευση σύνδεσης στο μητρώο npm και θα ξεκινήσουμε μια κλιμακωτή διάθεση για συντηρητές που ξεκινά στις 7 Δεκεμβρίου και ολοκληρώνεται στις 4 Ιανουαρίου. Οι συντηρητές μητρώου Npm που έχουν πρόσβαση σε δημοσίευση πακέτων και δεν έχουν ενεργοποιημένο τον έλεγχο ταυτότητας δύο παραγόντων (2FA) θα λάβουν ένα μήνυμα ηλεκτρονικού ταχυδρομείου με κωδικό πρόσβασης μίας χρήσης (OTP) κατά τον έλεγχο ταυτότητας μέσω του ιστότοπου npmjs.com ή του Npm CLI.
Αυτό το OTP που αποστέλλεται μέσω email θα πρέπει να παρέχεται εκτός από τον κωδικό πρόσβασης του χρήστη πριν από τον έλεγχο ταυτότητας. Αυτό το πρόσθετο επίπεδο ελέγχου ταυτότητας βοηθά στην αποτροπή κοινών επιθέσεων παραβίασης λογαριασμού, όπως γέμιση διαπιστευτηρίων, που χρησιμοποιούν τον παραβιασμένο και επαναχρησιμοποιημένο κωδικό πρόσβασης ενός χρήστη. Αξίζει να σημειωθεί ότι η βελτιωμένη επαλήθευση σύνδεσης προορίζεται να είναι μια πρόσθετη βασική προστασία για όλους τους εκδότες. Δεν αντικαθιστά το 2FA, NIST 800-63B. Ενθαρρύνουμε τους συντηρητές να επιλέξουν τον έλεγχο ταυτότητας 2FA. Με αυτόν τον τρόπο, δεν θα χρειαστεί να εκτελέσετε βελτιωμένη επαλήθευση σύνδεσης.
Μετά την ολοκλήρωση της μετεγκατάστασης των πρώτων εκατό, η αλλαγή θα μεταδοθεί στα 500 πιο δημοφιλή πακέτα NPM ως προς τον αριθμό των εξαρτήσεων.
Εκτός από τα επί του παρόντος διαθέσιμα συστήματα ελέγχου ταυτότητας δύο παραγόντων που βασίζονται σε εφαρμογές για τη δημιουργία κωδικών πρόσβασης μίας χρήσης (Authy, Google Authenticator, FreeOTP, κ.λπ.), τον Απρίλιο του 2022, σχεδιάζουν να προσθέσουν τη δυνατότητα χρήσης κλειδιών υλικού και βιομετρικών σαρωτών για το οποίο υπάρχει υποστήριξη για το πρωτόκολλο WebAuthn, καθώς και δυνατότητα εγγραφής και διαχείρισης διάφορων πρόσθετων παραγόντων ελέγχου ταυτότητας.
Θυμηθείτε ότι σύμφωνα με μια μελέτη που διεξήχθη το 2020, μόνο το 9.27% των διαχειριστών πακέτων χρησιμοποιεί έλεγχο ταυτότητας δύο παραγόντων για την προστασία της πρόσβασης και στο 13.37% των περιπτώσεων, κατά την εγγραφή νέων λογαριασμών, οι προγραμματιστές προσπάθησαν να επαναχρησιμοποιήσουν παραβιασμένους κωδικούς πρόσβασης που εμφανίζονται σε γνωστούς κωδικούς πρόσβασης .
Κατά την ανάλυση ισχύος κωδικού πρόσβασης μεταχειρισμένος, Έγινε πρόσβαση στο 12% των λογαριασμών στο NPM (13% των πακέτων) λόγω της χρήσης προβλέψιμων και ασήμαντων κωδικών πρόσβασης όπως "123456". Μεταξύ των προβλημάτων ήταν 4 λογαριασμοί χρηστών των 20 πιο δημοφιλών πακέτων, 13 λογαριασμοί των οποίων τα πακέτα κατέβαιναν περισσότερες από 50 εκατομμύρια φορές το μήνα, 40 - περισσότερες από 10 εκατομμύρια λήψεις το μήνα και 282 με περισσότερες από 1 εκατομμύριο λήψεις το μήνα. Λαμβάνοντας υπόψη τον φόρτο των λειτουργικών μονάδων κατά μήκος της αλυσίδας των εξαρτήσεων, η παραβίαση των μη αξιόπιστων λογαριασμών θα μπορούσε να επηρεάσει έως και το 52% όλων των λειτουργικών μονάδων στο NPM συνολικά.
Τελικά Εάν ενδιαφέρεστε να μάθετε περισσότερα γι 'αυτό, μπορείτε να ελέγξετε τις λεπτομέρειες στην αρχική σημείωση Στον ακόλουθο σύνδεσμο.