Mõni päev tagasi GitHub paljastas kaks juhtumit NPM-i pakettide hoidla infrastruktuuris, millest üksikasjalikult kirjeldatakse, et 2. novembril leidsid kolmanda osapoole turbeuurijad programmi Bug Bounty raames NPM-i hoidlas haavatavuse. mis võimaldab avaldada mis tahes paketi uue versiooni, isegi kui see pole volitatud selliste värskenduste tegemiseks.
Haavatavuse põhjustas mikroteenuste koodi valed autoriseerimiskontrollid mis töötleb päringuid NPM-ile. Autoriseerimisteenus tegi pakettidele loakontrolli päringus edastatud andmete alusel, kuid mõni teine värskendust hoidlasse üles laadiv teenus määras üleslaaditud paketi metaandmete sisu põhjal avaldatava paketi.
Seega võib ründaja taotleda oma paketi värskenduse avaldamist, millele tal on juurdepääs, kuid paketis endas näidata teavet teise paketi kohta, mida lõpuks uuendatakse.
Viimase paari kuu jooksul on npm-i meeskond investeerinud infrastruktuuri ja turbetäiustustesse, et automatiseerida hiljuti välja antud paketiversioonide jälgimist ja analüüsi, et tuvastada pahavara ja muu pahatahtlik kood reaalajas.
Npm-ökosüsteemis toimuvatel pahavara postitamise sündmustel on kaks peamist kategooriat: pahavara, mis postitatakse konto kaaperdamise tõttu, ja pahavara, mida ründajad postitavad oma kontode kaudu. Ehkki suure mõjuga kontode omandamine on suhteliselt haruldane, võrreldes ründajate oma kontosid kasutades postitatud otsese pahavaraga, võib populaarsete paketihooldajate sihtimisel olla kaugeleulatuv konto omandamine. Kuigi meie populaarsete pakettide omandamise tuvastamis- ja reageerimisaeg on viimaste juhtumite puhul olnud vaid 10 minutit, jätkame oma pahavara tuvastamise võimaluste ja teavitusstrateegiate arendamist proaktiivsema reageerimismudeli suunas.
probleem see parandati 6 tundi pärast haavatavusest teatamist, kuid haavatavus oli NPM-is olemas kauem kui see, mida telemeetrialogid katavad. GitHub väidab, et seda haavatavust kasutavatest rünnakutest pole jälgi alates septembrist 2020, kuid pole mingit garantiid, et probleemi pole varem ära kasutatud.
Teine juhtum leidis aset 26. oktoobril. Tehnilise töö käigus teenuse andmebaasiga replicant.npmjs.com selgus, et andmebaasis olid väliseks konsulteerimiseks kättesaadavad konfidentsiaalsed andmed, mis paljastab teabe muudatuste logis mainitud sisepakettide nimede kohta.
Teave nende nimede kohta saab kasutada siseprojektide sõltuvusrünnakute läbiviimiseks (Veebruaris võimaldas selline rünnak koodil töötada PayPali, Microsofti, Apple'i, Netflixi, Uberi ja 30 muu ettevõtte serverites.)
Lisaks seoses suurte projektide hoidlate arestimise sagenemisega ja pahatahtliku koodi reklaamimine arendajakontode ohustamise kaudu, GitHub otsustas kehtestada kohustusliku kahefaktorilise autentimise. Muudatus jõustub 2022. aasta esimeses kvartalis ning hakkab kehtima populaarseimate nimekirja kantud pakettide hooldajatele ja haldajatele. Lisaks annab see aru infrastruktuuri moderniseerimisest, mis võtab kasutusele pakettide uute versioonide automatiseeritud jälgimise ja analüüsi pahatahtlike muudatuste varajaseks avastamiseks.
Tuletame meelde, et 2020. aastal läbi viidud uuringu kohaselt kasutab ainult 9.27% paketihalduritest juurdepääsu kaitsmiseks kahefaktorilist autentimist ja 13.37% juhtudest püüdsid arendajad uute kontode registreerimisel uuesti kasutada rikutud paroole, mis esinevad teadaolevates paroolides. .
Kasutatud paroolide tugevuse kontrollimise käigus pääseti ligi 12%-le NPM-i kontodest (13% pakettidest), kuna kasutati etteaimatavaid ja triviaalseid paroole nagu "123456". Probleemide hulgas oli 4 populaarseima paketi 20 kasutajakontot, 13 kontot, mille pakette laaditi alla rohkem kui 50 miljonit korda kuus, 40 - rohkem kui 10 miljonit allalaadimist kuus ja 282 kontot rohkem kui 1 miljoni allalaadimisega kuus. Arvestades moodulite koormust sõltuvuste ahelas, võib ebausaldusväärsete kontode ohustamine mõjutada kokku kuni 52% kõigist NPM-i moodulitest.
Lõpuks kui olete huvitatud sellest rohkem teada saama saate üksikasju kontrollida Järgmisel lingil.