A GitHub nemrégiben kiadott néhány változtatást az NPM ökoszisztémában a felmerülő biztonsági problémákkal kapcsolatban, és az egyik legutóbbi az volt, hogy néhány támadónak sikerült átvennie az irányítást a coa NPM csomag felett, és kiadta a 2.0.3, 2.0.4, 2.1.1, 2.1.3 és 3.1.3 frissítéseket. XNUMX, amely rosszindulatú változtatásokat tartalmazott.
Ezzel összefüggésben és a tárolók lefoglalásainak növekvő gyakoriságával nagy projektekről és rosszindulatú kódokat reklámoznak A fejlesztői fiókok feltörésével a GitHub kiterjesztett fiókellenőrzést vezet be.
Külön-külön az 500 legnépszerűbb NPM-csomag karbantartói és adminisztrátorai számára a jövő év elején bevezetik a kötelező kéttényezős hitelesítést.
7. december 2021. és 4. január 2022. között minden karbantartó, aki jogosult NPM-csomagok kiadására, de akik nem használnak kéttényezős hitelesítést, átkerülnek kiterjesztett fiókellenőrzés használatára. A kiterjesztett ellenőrzés során meg kell adni egy egyedi kódot, amelyet e-mailben küldenek el, amikor megpróbálnak belépni az npmjs.com webhelyre vagy hitelesített műveletet hajtanak végre az npm segédprogramban.
A kiterjesztett ellenőrzés nem helyettesíti, csak kiegészíti az opcionális kéttényezős hitelesítést korábban elérhető volt, ami megköveteli az egyszeri jelszavak (TOTP) ellenőrzését. A kiterjesztett e-mail-ellenőrzés nem alkalmazható ha a kéttényezős hitelesítés engedélyezve van. 1. február 2022-jétől megkezdődik a 100 legnépszerűbb, legtöbb függőséggel rendelkező NPM-csomag kötelező kéttényezős hitelesítésére való áttérés folyamata.
Ma bevezetjük a továbbfejlesztett bejelentkezés-ellenőrzést az npm rendszerleíró adatbázisban, és megkezdjük a fokozatos bevezetést a karbantartók számára december 7-től január 4-ig. Azok az Npm rendszerleíró adatbázis-karbantartók, akik hozzáféréssel rendelkeznek a csomagok közzétételéhez, és nem rendelkeznek a kéttényezős hitelesítés (2FA) engedélyezésével, egy egyszeri jelszót (OTP) tartalmazó e-mailt kapnak, amikor az npmjs.com webhelyen vagy az Npm CLI-n keresztül hitelesítenek.
Ezt az e-mailben elküldött OTP-t meg kell adni a felhasználó jelszaván kívül a hitelesítés előtt. Ez a további hitelesítési réteg segít megelőzni az olyan gyakori fiók-eltérítési támadásokat, mint például a hitelesítő adatok betömése, amelyek a felhasználó feltört és újrafelhasznált jelszavát használják. Érdemes megjegyezni, hogy az Enhanced Login Verification további alapvető védelmet jelent minden megjelenítő számára. Nem helyettesíti a 2FA, NIST 800-63B-t. Arra biztatjuk a karbantartókat, hogy válasszák a 2FA hitelesítést. Ezzel nem kell továbbfejlesztett bejelentkezési ellenőrzést végrehajtania.
Az első száz migrációjának befejezése után a változás az 500 legnépszerűbb NPM-csomagra terjed. a függőségek számát tekintve.
A jelenleg elérhető, alkalmazásalapú, egyszeri jelszavak generálására szolgáló kétfaktoros hitelesítési sémák mellett (Authy, Google Authenticator, FreeOTP stb.) 2022 áprilisában azt tervezik, hogy hozzáadják a hardverkulcsok és biometrikus szkennerek használatának lehetőségét amelyhez létezik a WebAuthn protokoll támogatása, valamint a különböző további hitelesítési tényezők regisztrálásának és kezelésének lehetősége.
Emlékezzünk vissza, hogy egy 2020-ban végzett tanulmány szerint a csomagkezelőknek mindössze 9.27%-a használ kétfaktoros hitelesítést a hozzáférés védelmére, és az esetek 13.37%-ában új fiókok regisztrálásakor a fejlesztők megpróbálták újra felhasználni az ismert jelszavakban megjelenő, feltört jelszavakat. .
A jelszó erősségének elemzése során használt, Az NPM-ben lévő fiókok 12%-át sikerült elérni (a csomagok 13%-a) a kiszámítható és triviális jelszavak, például "123456" használata miatt. A problémák között szerepelt a 4 legnépszerűbb csomag 20 felhasználói fiókja, 13 olyan fiók, amelyek csomagjait havonta több mint 50 millió alkalommal töltötték le, 40 - több mint 10 millió letöltés havonta és 282 fiók több mint 1 millió letöltéssel havonta. Figyelembe véve a modulok terhelését a függőségi lánc mentén, a nem megbízható fiókok kompromittálása az NPM összes moduljának akár 52%-át is érintheti.
Végül Ha érdekel, hogy többet tudjon meg róla, a részleteket az eredeti jegyzetben ellenőrizheti A következő linken.