Néhány napja A GitHub két incidenst tárt fel az NPM csomagtároló infrastruktúrájában, amelyből részletezi, hogy november 2-án a Bug Bounty program részeként külső biztonsági kutatók sebezhetőséget találtak az NPM adattárában. amely lehetővé teszi bármely csomag új verziójának közzétételét a használatával, még akkor is, ha az nem engedélyezett ilyen frissítések végrehajtásához.
A sérülékenységet a mikroszolgáltatási kód helytelen engedélyezési ellenőrzése okozta amely feldolgozza az NPM-hez intézett kéréseket. Az engedélyezési szolgáltatás a kérésben átadott adatok alapján engedélyellenőrzést végzett a csomagokon, de egy másik, a frissítést a tárolóba feltöltő szolgáltatás a feltöltött csomag metaadattartalma alapján határozta meg a közzétenni kívánt csomagot.
Így a támadó kérheti egy frissítés közzétételét a csomagjához, amelyhez hozzáfér, de magában a csomagban jelezheti egy másik csomag információit, amely végül frissítésre kerül.
Az elmúlt néhány hónapban az npm csapata infrastrukturális és biztonsági fejlesztésekbe fektetett be, hogy automatizálja a közelmúltban kiadott csomagverziók figyelését és elemzését a rosszindulatú programok és más rosszindulatú kódok valós időben történő azonosítása érdekében.
Az npm ökoszisztémában előforduló rosszindulatú programok közzétételének két fő kategóriája van: a fiók-eltérítés miatt közzétett rosszindulatú programok és a támadók saját fiókjukon keresztül közzétett rosszindulatú programok. Bár a nagy hatású fiókbeszerzések viszonylag ritkák, a támadók által saját fiókjukat használó közvetlen rosszindulatú programokhoz képest a fiókszerzések messzemenőek lehetnek, ha a népszerű csomagkarbantartókat célozzák meg. Míg a népszerű csomagbeszerzések észlelési és válaszideje a közelmúltbeli incidensek során mindössze 10 perc volt, továbbra is fejlesztjük rosszindulatú programok észlelési képességeit és értesítési stratégiáit egy proaktívabb válaszmodell felé.
A probléma 6 órával a sérülékenység bejelentése után javították, de a sérülékenység tovább volt jelen az NPM-ben mint amit a telemetriai naplók takarnak. A GitHub azt állítja, hogy nincs nyoma a biztonsági rést használó támadásoknak 2020 szeptembere óta, de nincs garancia arra, hogy a problémát korábban nem használták ki.
A második eset október 26-án történt. A replicant.npmjs.com szolgáltatási adatbázissal végzett műszaki munka során, kiderült, hogy az adatbázisban bizalmas adatok találhatók, amelyek külső megtekintésre rendelkezésre állnak, amely információkat tartalmaz a változásnaplóban említett belső csomagok nevéről.
Információk ezekről a nevekről belső projektek elleni függőségi támadások végrehajtására használható (Februárban egy ilyen támadás lehetővé tette a kód futtatását a PayPal, a Microsoft, az Apple, a Netflix, az Uber és 30 másik cég szerverein.)
Ezen túlmenően, a nagy projektek tárolóinak egyre gyakoribb lefoglalásával kapcsolatban valamint a rosszindulatú kódok népszerűsítése a fejlesztői fiókok feltörésével, A GitHub a kötelező kéttényezős hitelesítés bevezetése mellett döntött. A változás 2022 első negyedévében lép életbe, és a legnépszerűbbek listáján szereplő csomagok fenntartóira, adminisztrátoraira vonatkozik. Emellett tájékoztatást adunk az infrastruktúra korszerűsítéséről, melyben az új csomagverziók automatizált monitorozása és elemzése kerül bevezetésre a rosszindulatú változások korai felismerése érdekében.
Emlékezzünk vissza, hogy egy 2020-ban végzett tanulmány szerint a csomagkezelőknek mindössze 9.27%-a használ kétfaktoros hitelesítést a hozzáférés védelmére, és az esetek 13.37%-ában új fiókok regisztrálásakor a fejlesztők megpróbálták újra felhasználni az ismert jelszavakban megjelenő, feltört jelszavakat. .
A használt jelszavak erősségének ellenőrzése során az NPM-ben lévő fiókok 12%-ához (a csomagok 13%-ához) fértek hozzá kiszámítható és triviális jelszavak, például "123456" használata miatt. A problémák között szerepelt a 4 legnépszerűbb csomag 20 felhasználói fiókja, 13 olyan fiók, amelyek csomagjait havonta több mint 50 millió alkalommal töltötték le, 40 - több mint 10 millió letöltés havonta és 282 fiók több mint 1 millió letöltéssel havonta. Figyelembe véve a modulterhelést a függőségi lánc mentén, a nem megbízható fiókok kompromittálása az NPM összes moduljának akár 52%-át is érintheti.
Végül, ha érdekel, hogy többet tudjon meg róla ellenőrizheti a részleteket A következő linken.