Beberapa hari yang lalu GitHub mengungkapkan dua insiden dalam infrastruktur repositori paket NPM, yang merinci bahwa pada 2 November, peneliti keamanan pihak ketiga sebagai bagian dari program Bug Bounty menemukan kerentanan di repositori NPM yang memungkinkan untuk menerbitkan versi baru dari paket apa pun menggunakan meskipun tidak diotorisasi untuk melakukan pembaruan semacam itu.
Kerentanan ini disebabkan oleh pemeriksaan otorisasi yang salah dalam kode layanan mikro permintaan proses itu ke NPM. Layanan otorisasi melakukan pemeriksaan izin pada paket berdasarkan data yang diteruskan dalam permintaan, tetapi layanan lain yang mengunggah pembaruan ke repositori menentukan paket yang akan diterbitkan berdasarkan konten metadata dalam paket yang diunggah.
Dengan demikian, penyerang dapat meminta publikasi pembaruan untuk paketnya, yang dapat diaksesnya, tetapi menunjukkan dalam paket itu sendiri informasi tentang paket lain, yang pada akhirnya akan diperbarui.
Selama beberapa bulan terakhir, tim npm telah berinvestasi dalam peningkatan infrastruktur dan keamanan untuk mengotomatiskan pemantauan dan analisis versi paket yang baru dirilis untuk mengidentifikasi malware dan kode berbahaya lainnya secara real time.
Ada dua kategori utama peristiwa pengeposan malware yang terjadi di ekosistem npm: malware yang diposting karena pembajakan akun, dan malware yang diposting penyerang melalui akun mereka sendiri. Meskipun akuisisi akun berdampak tinggi relatif jarang, dibandingkan dengan malware langsung yang diposting oleh penyerang menggunakan akun mereka sendiri, akuisisi akun dapat menjangkau jauh ketika menargetkan pengelola paket populer. Meskipun waktu deteksi dan respons kami terhadap akuisisi paket populer hanya 10 menit dalam insiden baru-baru ini, kami terus mengembangkan kemampuan deteksi malware dan strategi notifikasi kami menuju model respons yang lebih proaktif.
Masalahnya itu diperbaiki 6 jam setelah kerentanan dilaporkan, tetapi kerentanan hadir di NPM lebih lama dari apa yang dicakup oleh log telemetri. GitHub menyatakan bahwa tidak ada jejak serangan menggunakan kerentanan ini sejak September 2020, tetapi tidak ada jaminan bahwa masalah tersebut belum pernah dieksploitasi sebelumnya.
Insiden kedua terjadi pada 26 Oktober. Selama pekerjaan teknis dengan database layanan replicant.npmjs.com, terungkap bahwa ada data rahasia dalam database yang tersedia untuk konsultasi eksternal, mengungkapkan informasi tentang nama-nama paket internal yang disebutkan di changelog.
Informasi tentang nama-nama itu dapat digunakan untuk melakukan serangan ketergantungan pada proyek internal (Pada bulan Februari, serangan semacam itu memungkinkan kode untuk berjalan di server PayPal, Microsoft, Apple, Netflix, Uber, dan 30 perusahaan lainnya.)
Selain itu, sehubungan dengan meningkatnya insiden penyitaan repositori proyek-proyek besar dan promosi kode berbahaya melalui kompromi akun pengembang, GitHub memutuskan untuk memperkenalkan otentikasi dua faktor wajib. Perubahan akan berlaku pada kuartal pertama tahun 2022 dan akan berlaku untuk pengelola dan administrator dari paket-paket yang termasuk dalam daftar yang paling populer. Selain itu, informasi disediakan tentang modernisasi infrastruktur, di mana pemantauan otomatis dan analisis versi paket baru akan diperkenalkan untuk deteksi dini perubahan berbahaya.
Ingatlah bahwa menurut penelitian yang dilakukan pada tahun 2020, hanya 9.27% manajer paket menggunakan otentikasi dua faktor untuk melindungi akses, dan dalam 13.37% kasus, ketika mendaftarkan akun baru, pengembang mencoba menggunakan kembali kata sandi yang dikompromikan yang muncul di kata sandi yang dikenal .
Selama pemeriksaan kekuatan kata sandi yang digunakan, 12% akun di NPM (13% dari paket) diakses karena penggunaan kata sandi yang dapat diprediksi dan sepele seperti "123456". Di antara masalah adalah 4 akun pengguna dari 20 paket paling populer, 13 akun yang paketnya diunduh lebih dari 50 juta kali per bulan, 40 - lebih dari 10 juta unduhan per bulan dan 282 dengan lebih dari 1 juta unduhan per bulan. Mempertimbangkan beban modul di sepanjang rantai dependensi, mengorbankan akun yang tidak tepercaya dapat memengaruhi hingga 52% dari semua modul di NPM secara total.
Akhirnya, jika Anda tertarik untuk mengetahui lebih banyak tentangnya Anda dapat memeriksa detailnya Di tautan berikut.