GitHub avaldas hiljuti mõned muudatused NPM-i ökosüsteemis seoses tekkinud turvaprobleemidega ja üks viimaseid oli see, et mõned ründajad suutsid koo-NPM-i paketi kontrolli alla võtta ja andsid välja värskendused 2.0.3, 2.0.4, 2.1.1, 2.1.3 ja 3.1.3. XNUMX, mis sisaldas pahatahtlikke muudatusi.
Seoses sellega ja hoidlate konfiskeerimiste esinemissageduse suurenemisega suurtest projektidest ja pahatahtliku koodi reklaamimine Arendajakontode ohustamise tõttu võtab GitHub kasutusele laiendatud konto kinnitamise.
Eraldi 500 populaarseima NPM-paketi hooldajate ja administraatorite jaoks kehtestatakse järgmise aasta alguses kohustuslik kahefaktoriline autentimine.
Alates 7. detsembrist 2021 kuni 4. jaanuarini 2022 kõik hooldajad, kellel on õigus NPM pakette välja anda, kuid kes ei kasuta kahefaktorilist autentimist, viiakse üle laiendatud kontokinnituse kasutamisele. Laiendatud kinnitamine hõlmab vajadust sisestada kordumatu kood, mis saadetakse e-posti teel, kui proovite siseneda saidile npmjs.com või sooritada utiliidis npm autentitud toiming.
Laiendatud kinnitamine ei asenda, vaid ainult täiendab valikulist kahefaktorilist autentimist varem saadaval, mis nõuab ühekordsete paroolide (TOTP) kontrollimist. Meili pikendatud kinnitamine ei kehti kui kahefaktoriline autentimine on lubatud. Alates 1. veebruarist 2022 algab 100 populaarseima ja kõige enam sõltuvusega NPM-paketi kohustuslikule kahefaktorilisele autentimisele ülemineku protsess.
Täna tutvustame npm-registris täiustatud sisselogimise kontrollimist ja alustame hooldajate jaoks järkjärgulist levitamist, mis algab 7. detsembril ja lõpeb 4. jaanuaril. Npm-i registrihooldajad, kellel on juurdepääs pakettide avaldamiseks ja kellel ei ole lubatud kahefaktoriline autentimine (2FA), saavad veebisaidi npmjs.com või Npm CLI kaudu autentimisel ühekordse parooliga (OTP) meili.
See meili teel saadetud OTP tuleb enne autentimist esitada lisaks kasutaja paroolile. See täiendav autentimiskiht aitab vältida tavalisi kontokaaperdamisrünnakuid, näiteks mandaadi täitmist, mis kasutavad kasutaja ohustatud ja taaskasutatud parooli. Väärib märkimist, et täiustatud sisselogimise kinnitamine on mõeldud täiendavaks põhikaitseks kõikidele avaldajatele. See ei asenda 2FA, NIST 800-63B. Soovitame hooldajatel valida 2FA autentimise. Seda tehes ei pea te sisselogimise täiustatud kontrollimist läbi viima.
Pärast esimese saja migratsiooni lõpuleviimist levitatakse muudatus 500 populaarseima NPM-i paketti sõltuvuste arvu poolest.
Lisaks praegu saadaolevatele rakenduspõhistele kahefaktorilistele autentimisskeemidele ühekordsete paroolide genereerimiseks (Authy, Google Authenticator, FreeOTP jne) 2022. aasta aprillis kavatsevad nad lisada riistvaravõtmete ja biomeetriliste skannerite kasutamise võimaluse mille jaoks on olemas WebAuthni protokolli tugi, samuti võimalus registreerida ja hallata erinevaid täiendavaid autentimisfaktoreid.
Tuletame meelde, et 2020. aastal läbi viidud uuringu kohaselt kasutab ainult 9.27% paketihalduritest juurdepääsu kaitsmiseks kahefaktorilist autentimist ja 13.37% juhtudest püüdsid arendajad uute kontode registreerimisel uuesti kasutada rikutud paroole, mis esinevad teadaolevates paroolides. .
Parooli tugevuse analüüsi käigus kasutatud, 12% NPM-i kontodest pääses juurde (13% pakettidest) ennustatavate ja triviaalsete paroolide, näiteks "123456" kasutamise tõttu. Probleemide hulgas oli 4 populaarseima paketi 20 kasutajakontot, 13 kontot, mille pakette laaditi alla rohkem kui 50 miljonit korda kuus, 40 - rohkem kui 10 miljonit allalaadimist kuus ja 282 kontot rohkem kui 1 miljoni allalaadimisega kuus. Arvestades moodulite koormust sõltuvusahelas, võib ebausaldusväärsete kontode ohustamine mõjutada kokku kuni 52% kõigist NPM-i moodulitest.
Lõpuks Kui soovite sellest rohkem teada saada, üksikasju saate kontrollida algses märkuses Järgmisel lingil.