Μερικές μέρες πριν Το GitHub αποκάλυψε δύο περιστατικά στην υποδομή αποθήκευσης πακέτων NPM, εκ των οποίων αναφέρει ότι στις 2 Νοεμβρίου, τρίτοι ερευνητές ασφαλείας στο πλαίσιο του προγράμματος Bug Bounty βρήκαν μια ευπάθεια στο αποθετήριο NPM που επιτρέπει τη δημοσίευση μιας νέας έκδοσης οποιουδήποτε πακέτου χρησιμοποιώντας ακόμη κι αν δεν είναι εξουσιοδοτημένο για την εκτέλεση τέτοιων ενημερώσεων.
Η ευπάθεια προκλήθηκε από λανθασμένους ελέγχους εξουσιοδότησης στον κωδικό microservices που επεξεργάζεται αιτήματα προς NPM. Η υπηρεσία εξουσιοδότησης πραγματοποίησε έναν έλεγχο αδειών στα πακέτα με βάση τα δεδομένα που διαβιβάστηκαν στο αίτημα, αλλά μια άλλη υπηρεσία που ανέβαζε την ενημέρωση στο χώρο αποθήκευσης καθόρισε τη δημοσίευση του πακέτου με βάση το περιεχόμενο μεταδεδομένων στο μεταφορτωμένο πακέτο.
Έτσι, ένας εισβολέας θα μπορούσε να ζητήσει τη δημοσίευση μιας ενημέρωσης για το πακέτο του, στο οποίο έχει πρόσβαση, αλλά να υποδείξει στο ίδιο το πακέτο πληροφορίες για ένα άλλο πακέτο, το οποίο τελικά θα ενημερωνόταν.
Τους τελευταίους μήνες, η ομάδα npm επενδύει σε βελτιώσεις υποδομής και ασφάλειας για την αυτοματοποίηση της παρακολούθησης και της ανάλυσης των εκδόσεων πακέτων που κυκλοφόρησαν πρόσφατα για τον εντοπισμό κακόβουλου λογισμικού και άλλου κακόβουλου κώδικα σε πραγματικό χρόνο.
Υπάρχουν δύο κύριες κατηγορίες συμβάντων δημοσίευσης κακόβουλου λογισμικού που συμβαίνουν στο οικοσύστημα npm: κακόβουλο λογισμικό που δημοσιεύεται λόγω παραβίασης λογαριασμού και κακόβουλο λογισμικό που δημοσιεύουν οι εισβολείς μέσω των δικών τους λογαριασμών. Παρόλο που οι αποκτήσεις λογαριασμών με μεγάλο αντίκτυπο είναι σχετικά σπάνιες, σε σύγκριση με το άμεσο κακόβουλο λογισμικό που δημοσιεύεται από εισβολείς που χρησιμοποιούν τους δικούς τους λογαριασμούς, οι αποκτήσεις λογαριασμών μπορεί να είναι εκτενείς όταν στοχεύουν δημοφιλείς συντηρητές πακέτων. Ενώ ο χρόνος ανίχνευσης και απόκρισής μας σε αποκτήσεις δημοφιλών πακέτων ήταν μόλις 10 λεπτά στα πρόσφατα περιστατικά, συνεχίζουμε να εξελίσσουμε τις δυνατότητες ανίχνευσης κακόβουλου λογισμικού και τις στρατηγικές ειδοποίησης προς ένα πιο προληπτικό μοντέλο απόκρισης.
το πρόβλημα διορθώθηκε 6 ώρες μετά την αναφορά της ευπάθειας, αλλά η ευπάθεια ήταν παρούσα στο NPM περισσότερο από αυτό που καλύπτουν τα κούτσουρα τηλεμετρίας. Το GitHub δηλώνει ότι δεν υπήρξαν ίχνη επιθέσεων με χρήση αυτής της ευπάθειας από τον Σεπτέμβριο του 2020, αλλά δεν υπάρχει καμία εγγύηση ότι το πρόβλημα δεν έχει αξιοποιηθεί στο παρελθόν.
Το δεύτερο περιστατικό σημειώθηκε στις 26 Οκτωβρίου. Κατά τη διάρκεια της τεχνικής εργασίας με τη βάση δεδομένων υπηρεσιών replicant.npmjs.com, αποκαλύφθηκε ότι υπήρχαν εμπιστευτικά δεδομένα στη βάση δεδομένων διαθέσιμα για εξωτερική διαβούλευση, αποκαλύπτοντας πληροφορίες για τα ονόματα των εσωτερικών πακέτων που αναφέρονταν στο changelog.
Πληροφορίες για αυτά τα ονόματα μπορεί να χρησιμοποιηθεί για την πραγματοποίηση επιθέσεων εξάρτησης σε εσωτερικά έργα (Τον Φεβρουάριο, μια τέτοια επίθεση επέτρεψε την εκτέλεση κώδικα στους διακομιστές των PayPal, Microsoft, Apple, Netflix, Uber και 30 άλλων εταιρειών.)
Επιπλέον, σε σχέση με τα αυξανόμενα κρούσματα κατάσχεσης αποθετηρίων μεγάλων έργων και την προώθηση κακόβουλου κώδικα μέσω παραβίασης λογαριασμών προγραμματιστή, Το GitHub αποφάσισε να εισαγάγει τον υποχρεωτικό έλεγχο ταυτότητας δύο παραγόντων. Η αλλαγή θα τεθεί σε ισχύ το πρώτο τρίμηνο του 2022 και θα ισχύει για τους συντηρητές και τους διαχειριστές των πακέτων που περιλαμβάνονται στη λίστα με τα πιο δημοφιλή. Επιπλέον, αναφέρει τον εκσυγχρονισμό της υποδομής, ο οποίος θα εισάγει την αυτοματοποιημένη παρακολούθηση και ανάλυση νέων εκδόσεων πακέτων για τον έγκαιρο εντοπισμό κακόβουλων αλλαγών.
Θυμηθείτε ότι σύμφωνα με μια μελέτη που διεξήχθη το 2020, μόνο το 9.27% των διαχειριστών πακέτων χρησιμοποιεί έλεγχο ταυτότητας δύο παραγόντων για την προστασία της πρόσβασης και στο 13.37% των περιπτώσεων, κατά την εγγραφή νέων λογαριασμών, οι προγραμματιστές προσπάθησαν να επαναχρησιμοποιήσουν παραβιασμένους κωδικούς πρόσβασης που εμφανίζονται σε γνωστούς κωδικούς πρόσβασης .
Κατά τον έλεγχο της ισχύος των κωδικών πρόσβασης που χρησιμοποιήθηκαν, έγινε πρόσβαση στο 12% των λογαριασμών στο NPM (13% των πακέτων) λόγω της χρήσης προβλέψιμων και ασήμαντων κωδικών πρόσβασης όπως "123456". Μεταξύ των προβλημάτων ήταν 4 λογαριασμοί χρηστών των 20 πιο δημοφιλών πακέτων, 13 λογαριασμοί των οποίων τα πακέτα κατέβαιναν περισσότερες από 50 εκατομμύρια φορές το μήνα, 40 - περισσότερες από 10 εκατομμύρια λήψεις το μήνα και 282 με περισσότερες από 1 εκατομμύριο λήψεις το μήνα. Λαμβάνοντας υπόψη τον φόρτο των λειτουργικών μονάδων κατά μήκος της αλυσίδας των εξαρτήσεων, η παραβίαση των μη αξιόπιστων λογαριασμών θα μπορούσε να επηρεάσει έως και το 52% όλων των λειτουργικών μονάδων στο NPM συνολικά.
Τέλος, αν ενδιαφέρεστε να μάθετε περισσότερα γι 'αυτό μπορείτε να ελέγξετε τις λεπτομέρειες Στον ακόλουθο σύνδεσμο.