GitHub julkaisi äskettäin joitain muutoksia NPM-ekosysteemiin nouseviin tietoturvaongelmiin liittyen ja yksi uusimmista oli se, että jotkut hyökkääjät onnistuivat ottamaan hallintaansa coa NPM -paketin ja julkaisivat päivitykset 2.0.3, 2.0.4, 2.1.1, 2.1.3 ja 3.1.3. XNUMX, joka sisälsi haitallisia muutoksia.
Tähän liittyen ja arkiston takavarikointien lisääntymiseen suurista projekteista ja haitallisen koodin mainostaminen GitHub ottaa käyttöön laajennetun tilivahvistuksen kehittäjätilien vaarantumisen vuoksi.
Erikseen 500 suosituimman NPM-paketin ylläpitäjille ja ylläpitäjille pakollinen kaksivaiheinen todennus otetaan käyttöön ensi vuoden alussa.
7–2021 välisenä aikana kaikki ylläpitäjät, joilla on oikeus julkaista NPM-paketteja, mutta jotka eivät käytä kaksivaiheista todennusta, siirretään käyttämään laajennettua tilin vahvistusta. Laajennettu vahvistus edellyttää yksilöllisen koodin syöttämistä, joka lähetetään sähköpostitse, kun yrität siirtyä npmjs.com-sivustolle tai suorittaa todennettua toimintoa npm-apuohjelmassa.
Laajennettu varmennus ei korvaa, vaan vain täydentää valinnaista kaksivaiheista todennusta aiemmin saatavilla, mikä edellyttää kertaluonteisten salasanojen (TOTP) vahvistamista. Laajennettu sähköpostivahvistus ei ole voimassa kun kaksivaiheinen todennus on käytössä. 1. helmikuuta 2022 alkaen 100 suosituimman NPM-paketin, joissa on eniten riippuvuuksia, pakolliseen kaksivaiheiseen todentamiseen siirtyminen alkaa.
Tänään esittelemme npm-rekisterissä parannetun kirjautumisen vahvistuksen ja aloitamme porrastetun käyttöönoton ylläpitäjille alkaen 7. joulukuuta ja päättyen 4. tammikuuta. Npm-rekisterin ylläpitäjät, joilla on pääsy pakettien julkaisuun ja joilla ei ole kaksivaiheista todennusta (2FA) käytössä, saavat sähköpostin, jossa on kertaluonteinen salasana (OTP), kun he todentavat npmjs.com-verkkosivuston tai Npm CLI:n kautta.
Tämä sähköpostilla lähetetty OTP on annettava käyttäjän salasanan lisäksi ennen todennusta. Tämä lisätodennustaso auttaa estämään yleisiä tilikaappaushyökkäyksiä, kuten tunnistetietojen täyttämistä, jotka käyttävät käyttäjän vaarantunutta ja uudelleenkäytettyä salasanaa. On syytä huomata, että Enhanced Login Verification on tarkoitettu lisäperussuojaksi kaikille julkaisijoille. Se ei korvaa 2FA:ta, NIST 800-63B:tä. Suosittelemme ylläpitäjiä valitsemaan 2FA-todennuksen. Kun teet tämän, sinun ei tarvitse suorittaa tehostettua kirjautumisen vahvistusta.
Ensimmäisen sadan siirron jälkeen muutos siirretään 500 suosituimpiin NPM-paketteihin riippuvuuksien lukumäärän suhteen.
Tällä hetkellä saatavilla olevien sovelluspohjaisten kaksivaiheisten todennusjärjestelmien lisäksi kertaluonteisten salasanojen luomiseen (Authy, Google Authenticator, FreeOTP jne.) huhtikuussa 2022 he aikovat lisätä mahdollisuuden käyttää laitteistoavaimia ja biometrisiä skannereita joille on olemassa WebAuthn-protokollan tuki sekä mahdollisuus rekisteröidä ja hallita erilaisia lisätodennustekijöitä.
Muista, että vuonna 2020 tehdyn tutkimuksen mukaan vain 9.27 % paketinhaltijoista käyttää kaksivaiheista todennusta pääsyn suojaamiseen, ja 13.37 %:ssa tapauksista uusia tilejä rekisteröidessään kehittäjät yrittivät käyttää uudelleen vaarantuneita salasanoja, jotka esiintyvät tunnetuissa salasanoissa. .
Salasanan vahvuusanalyysin aikana käytetty, 12 % NPM:n tileistä käytettiin (13 % paketeista) ennakoitavien ja triviaalien salasanojen, kuten "123456", käytön vuoksi. Ongelmien joukossa oli 4 käyttäjätiliä 20 suosituimmasta paketista, 13 tiliä, joiden paketit ladattiin yli 50 miljoonaa kertaa kuukaudessa, 40 - yli 10 miljoonaa latausta kuukaudessa ja 282 tiliä yli miljoonalla latauskerralla kuukaudessa. Kun otetaan huomioon moduulien kuormitus riippuvuusketjussa, epäluotettavien tilien vaarantaminen voi vaikuttaa yhteensä jopa 1 prosenttiin kaikista NPM:n moduuleista.
Vihdoin Jos haluat tietää enemmän siitä, voit tarkistaa tiedot alkuperäisestä huomautuksesta Seuraavassa linkissä.