કેટલાક દિવસો પહેલા GitHub એ NPM પેકેજ રીપોઝીટરી ઈન્ફ્રાસ્ટ્રક્ચરમાં બે ઘટનાઓ જાહેર કરી, જેમાંથી તે વિગતો આપે છે કે 2 નવેમ્બરના રોજ, બગ બાઉન્ટી પ્રોગ્રામના ભાગરૂપે તૃતીય-પક્ષ સુરક્ષા સંશોધકોને NPM ભંડારમાં નબળાઈ મળી જે કોઈપણ પેકેજના નવા સંસ્કરણને અધિકૃત ન હોવા છતાં તેનો ઉપયોગ કરીને પ્રકાશિત કરવાની મંજૂરી આપે છે આવા સુધારાઓ કરવા માટે.
માઇક્રોસર્વિસિસ કોડમાં ખોટી અધિકૃતતા તપાસને કારણે નબળાઈ આવી હતી જે પ્રક્રિયા NPM ને વિનંતી કરે છે. અધિકૃતતા સેવાએ વિનંતીમાં પસાર કરેલા ડેટાના આધારે પેકેજો પર પરવાનગી તપાસ કરી, પરંતુ અન્ય સેવા કે જે રીપોઝીટરીમાં અપડેટ અપલોડ કરી રહી હતી, તેણે અપલોડ કરેલ પેકેજમાં મેટાડેટા સામગ્રીના આધારે પ્રકાશિત કરવા માટે પેકેજ નક્કી કર્યું.
આમ, હુમલાખોર તેના પેકેજ માટે અપડેટના પ્રકાશન માટે વિનંતી કરી શકે છે, જેમાં તેની પાસે ઍક્સેસ છે, પરંતુ પેકેજમાં જ અન્ય પેકેજ વિશેની માહિતી સૂચવે છે, જે આખરે અપડેટ કરવામાં આવશે.
છેલ્લા કેટલાક મહિનાઓથી, npm ટીમ રીઅલ ટાઇમમાં માલવેર અને અન્ય દૂષિત કોડને ઓળખવા માટે તાજેતરમાં રિલીઝ થયેલા પેકેજ વર્ઝનના મોનિટરિંગ અને વિશ્લેષણને સ્વચાલિત કરવા માટે ઇન્ફ્રાસ્ટ્રક્ચર અને સુરક્ષા સુધારણામાં રોકાણ કરી રહી છે.
npm ઇકોસિસ્ટમમાં બનતી મૉલવેર પોસ્ટિંગ ઇવેન્ટ્સની બે મુખ્ય શ્રેણીઓ છે: મૉલવેર કે જે એકાઉન્ટ હાઇજેકિંગને કારણે પોસ્ટ કરવામાં આવે છે અને માલવેર કે જે હુમલાખોરો તેમના પોતાના એકાઉન્ટ દ્વારા પોસ્ટ કરે છે. હુમલાખોરો દ્વારા તેમના પોતાના એકાઉન્ટ્સનો ઉપયોગ કરીને પોસ્ટ કરવામાં આવેલા સીધા માલવેરની સરખામણીમાં ઉચ્ચ-અસરવાળા એકાઉન્ટ એક્વિઝિશન પ્રમાણમાં દુર્લભ હોવા છતાં, લોકપ્રિય પેકેજ જાળવણીકારોને લક્ષ્ય બનાવતી વખતે એકાઉન્ટ એક્વિઝિશન ખૂબ જ દૂર સુધી પહોંચી શકે છે. જ્યારે તાજેતરની ઘટનાઓમાં લોકપ્રિય પેકેજોના હસ્તાંતરણ માટે અમારો શોધ અને પ્રતિભાવ સમય 10 મિનિટ જેટલો ઓછો છે, અમે વધુ સક્રિય પ્રતિભાવ મોડલ તરફ અમારી માલવેર શોધ ક્ષમતાઓ અને સૂચના વ્યૂહરચનાઓ વિકસાવવાનું ચાલુ રાખીએ છીએ.
સમસ્યા નબળાઈની જાણ થયાના 6 કલાક પછી તેને ઠીક કરવામાં આવી હતી, પરંતુ NPMમાં નબળાઈ લાંબા સમય સુધી હાજર હતી ટેલિમેટ્રી લોગ શું આવરી લે છે તેના કરતાં. GitHub જણાવે છે કે આ નબળાઈનો ઉપયોગ કરીને હુમલાના કોઈ નિશાન નથી સપ્ટેમ્બર 2020 થી, પરંતુ ત્યાં કોઈ ગેરેંટી નથી કે સમસ્યાનો પહેલાં શોષણ કરવામાં આવ્યું નથી.
બીજી ઘટના 26 ઓક્ટોબરે બની હતી. replicant.npmjs.com સેવા ડેટાબેઝ સાથે તકનીકી કાર્ય દરમિયાન, તે બહાર આવ્યું હતું કે બાહ્ય પરામર્શ માટે ઉપલબ્ધ ડેટાબેઝમાં ગોપનીય માહિતી હતી, ચેન્જલોગમાં ઉલ્લેખિત આંતરિક પેકેજોના નામો વિશે માહિતી જાહેર કરે છે.
તે નામોની માહિતી આંતરિક પ્રોજેક્ટ્સ પર નિર્ભરતાના હુમલાઓ કરવા માટે ઉપયોગ કરી શકાય છે (ફેબ્રુઆરીમાં, આવા હુમલાથી પેપાલ, માઇક્રોસોફ્ટ, એપલ, નેટફ્લિક્સ, ઉબેર અને અન્ય 30 કંપનીઓના સર્વર પર કોડ ચલાવવાની મંજૂરી મળી.)
ઉપરાંત, મોટા પ્રોજેક્ટ્સના રિપોઝીટરીઝને જપ્ત કરવાની વધતી જતી ઘટનાઓના સંબંધમાં અને ડેવલપર એકાઉન્ટ્સના સમાધાન દ્વારા દૂષિત કોડનો પ્રચાર, GitHub એ ફરજિયાત દ્વિ-પરિબળ પ્રમાણીકરણ રજૂ કરવાનું નક્કી કર્યું. આ ફેરફાર 2022 ના પ્રથમ ત્રિમાસિક ગાળામાં અમલમાં આવશે અને સૌથી લોકપ્રિયની સૂચિમાં સમાવિષ્ટ પેકેજોના જાળવણીકારો અને વ્યવસ્થાપકોને લાગુ થશે. વધુમાં, તે ઈન્ફ્રાસ્ટ્રક્ચરના આધુનિકીકરણ પર અહેવાલ આપે છે, જે દૂષિત ફેરફારોની વહેલી શોધ માટે પેકેજોના નવા સંસ્કરણોનું સ્વચાલિત નિરીક્ષણ અને વિશ્લેષણ રજૂ કરશે.
યાદ કરો કે 2020 માં હાથ ધરવામાં આવેલા એક અભ્યાસ મુજબ, ફક્ત 9.27% પેકેજ મેનેજરો ઍક્સેસને સુરક્ષિત રાખવા માટે દ્વિ-પરિબળ પ્રમાણીકરણનો ઉપયોગ કરે છે, અને 13.37% કિસ્સાઓમાં, જ્યારે નવા એકાઉન્ટ્સની નોંધણી કરવામાં આવે છે, ત્યારે વિકાસકર્તાઓએ ચેડા થયેલા પાસવર્ડ્સનો ફરીથી ઉપયોગ કરવાનો પ્રયાસ કર્યો હતો જે જાણીતા પાસવર્ડ્સમાં દેખાય છે. .
ઉપયોગમાં લેવાતા પાસવર્ડ્સની મજબૂતાઈની તપાસ દરમિયાન, "12" જેવા અનુમાનિત અને તુચ્છ પાસવર્ડના ઉપયોગને કારણે NPM (પેકેજના 13%) એકાઉન્ટ્સમાંથી 123456% ઍક્સેસ કરવામાં આવ્યા હતા. સમસ્યાઓમાં 4 સૌથી વધુ લોકપ્રિય પેકેજોમાંથી 20 વપરાશકર્તા એકાઉન્ટ્સ હતા, 13 એકાઉન્ટ્સ કે જેના પેકેજો દર મહિને 50 મિલિયનથી વધુ વખત ડાઉનલોડ થયા હતા, 40 - દર મહિને 10 મિલિયનથી વધુ ડાઉનલોડ્સ અને 282 મહિનામાં 1 મિલિયનથી વધુ ડાઉનલોડ્સ સાથે. અવલંબનની સાંકળ સાથે મોડ્યુલ લોડને ધ્યાનમાં લેતા, અવિશ્વસનીય ખાતાઓ સાથે ચેડા કરવાથી NPM માં કુલ તમામ મોડ્યુલોના 52% સુધી અસર થઈ શકે છે.
છેલ્લે, જો તમને તેના વિશે વધુ જાણવામાં રસ છે તમે વિગતો ચકાસી શકો છો નીચેની કડીમાં