GitHub baru-baru ini merilis beberapa perubahan pada ekosistem NPM sehubungan dengan masalah keamanan yang muncul dan salah satu yang terbaru adalah bahwa beberapa penyerang berhasil mengambil alih paket coa NPM dan merilis pembaruan 2.0.3, 2.0.4, 2.1.1, 2.1.3 dan 3.1.3. XNUMX, yang mencakup perubahan berbahaya.
Sehubungan dengan ini dan dengan meningkatnya insiden penyitaan repositori dari proyek-proyek besar dan mempromosikan kode berbahaya Melalui kompromi akun pengembang, GitHub memperkenalkan verifikasi akun yang diperpanjang.
Secara terpisah, untuk pengelola dan administrator dari 500 paket NPM paling populer, otentikasi dua faktor wajib akan diperkenalkan awal tahun depan.
Dari 7 Desember 2021 hingga 4 Januari 2022, semua pengelola yang memiliki hak untuk merilis paket NPM, tetapi yang tidak menggunakan otentikasi dua faktor, akan ditransfer untuk menggunakan verifikasi akun yang diperpanjang. Verifikasi yang diperluas melibatkan kebutuhan untuk memasukkan kode unik yang dikirim melalui email saat mencoba memasuki situs npmjs.com atau melakukan operasi yang diautentikasi di utilitas npm.
Verifikasi yang diperpanjang tidak menggantikan tetapi hanya melengkapi otentikasi dua faktor opsional sebelumnya tersedia, yang memerlukan verifikasi kata sandi satu kali (TOTP). Verifikasi email yang diperpanjang tidak berlaku ketika otentikasi dua faktor diaktifkan. Mulai 1 Februari 2022, proses perpindahan ke otentikasi dua faktor wajib dari 100 paket NPM paling populer dengan dependensi paling banyak akan dimulai.
Hari ini kami memperkenalkan verifikasi login yang ditingkatkan di registri npm, dan kami akan memulai peluncuran bertahap untuk pengelola mulai 7 Desember dan berakhir pada 4 Januari. Pengelola registri Npm yang memiliki akses untuk menerbitkan paket dan tidak mengaktifkan otentikasi dua faktor (2FA) akan menerima email dengan kata sandi satu kali (OTP) saat mereka mengautentikasi melalui situs web npmjs.com atau Npm CLI.
OTP yang dikirim melalui email ini perlu diberikan selain kata sandi pengguna sebelum mengautentikasi. Lapisan autentikasi tambahan ini membantu mencegah serangan pembajakan akun yang umum, seperti isian kredensial, yang menggunakan sandi pengguna yang disusupi dan digunakan kembali. Perlu diperhatikan bahwa Verifikasi Masuk yang Disempurnakan dimaksudkan sebagai perlindungan dasar tambahan untuk semua penayang. Ini bukan pengganti 2FA, NIST 800-63B. Kami mendorong pengelola untuk memilih otentikasi 2FA. Dengan melakukan ini, Anda tidak perlu melakukan verifikasi login yang disempurnakan.
Setelah menyelesaikan migrasi dari seratus pertama, perubahan akan disebarkan ke 500 paket NPM paling populer dalam hal jumlah ketergantungan.
Selain skema otentikasi dua faktor berbasis aplikasi yang saat ini tersedia untuk menghasilkan kata sandi satu kali (Authy, Google Authenticator, FreeOTP, dll.), pada April 2022, mereka berencana untuk menambahkan kemampuan untuk menggunakan kunci perangkat keras dan pemindai biometrik yang ada dukungan untuk protokol WebAuthn, serta kemampuan untuk mendaftar dan mengelola berbagai faktor otentikasi tambahan.
Ingatlah bahwa menurut penelitian yang dilakukan pada tahun 2020, hanya 9.27% manajer paket menggunakan otentikasi dua faktor untuk melindungi akses, dan dalam 13.37% kasus, ketika mendaftarkan akun baru, pengembang mencoba menggunakan kembali kata sandi yang dikompromikan yang muncul di kata sandi yang dikenal .
Selama analisis kekuatan kata sandi digunakan, 12% akun di NPM diakses (13% dari paket) karena penggunaan kata sandi yang dapat diprediksi dan sepele seperti "123456". Di antara masalah adalah 4 akun pengguna dari 20 paket paling populer, 13 akun yang paketnya diunduh lebih dari 50 juta kali per bulan, 40 - lebih dari 10 juta unduhan per bulan dan 282 dengan lebih dari 1 juta unduhan per bulan. Mempertimbangkan beban modul di sepanjang rantai dependensi, mengorbankan akun yang tidak tepercaya dapat memengaruhi hingga 52% dari semua modul di NPM secara total.
Akhirnya Jika Anda tertarik untuk mengetahui lebih banyak tentang itu, Detailnya bisa di cek di note asli Di tautan berikut.