GitHubは最近、NPMエコシステムにいくつかの変更をリリースしました 発生しているセキュリティ問題に関連して、最近の2.0.3つは、一部の攻撃者がcoa NPMパッケージを制御し、アップデート2.0.4、2.1.1、2.1.3、3.1.3、およびXNUMXをリリースしたことです。 XNUMX、悪意のある変更が含まれています。
これに関連して、そしてリポジトリの発作の発生率の増加に伴い 大きなプロジェクトの 悪意のあるコードを宣伝する 開発者アカウントの侵害を通じて、GitHubは拡張アカウント検証を導入しています。
これとは別に、最も人気のある500のNPMパッケージの保守管理者向けに、必須のXNUMX要素認証が来年初めに導入される予定です。
7年2021月4日から2022年XNUMX月XNUMX日まで NPMパッケージをリリースする権利を持っているが、 二要素認証を使用しない場合は、拡張アカウント検証を使用するように転送されます。 拡張検証では、npmjs.comサイトにアクセスしようとしたり、npmユーティリティで認証された操作を実行したりするときに、電子メールで送信される一意のコードを入力する必要があります。
拡張検証は、オプションのXNUMX要素認証に置き換わるものではなく、補足するだけです。 以前は利用可能でしたが、ワンタイムパスワード(TOTP)の検証が必要です。 拡張メール検証は適用されません 二要素認証が有効になっている場合。 1年2022月100日から、依存関係が最も多いXNUMXの最も人気のあるNPMパッケージの必須のXNUMX要素認証に移行するプロセスが開始されます。
本日、npmレジストリに改善されたログイン検証を導入し、7月4日から2月XNUMX日まで、メンテナ向けの段階的なロールアウトを開始します。 パッケージの公開にアクセスでき、XNUMX要素認証(XNUMXFA)が有効になっていないNpmレジストリメンテナは、npmjs.comWebサイトまたはNpmCLIを介して認証するときに、ワンタイムパスワード(OTP)が記載された電子メールを受信します。
この電子メールで送信されたOTPは、認証する前にユーザーのパスワードに加えて提供する必要があります。 この追加の認証レイヤーは、ユーザーの侵害され再利用されたパスワードを使用する、資格情報の詰め込みなどの一般的なアカウントハイジャック攻撃を防ぐのに役立ちます。 拡張ログイン検証は、すべてのサイト運営者にとって追加の基本的な保護となることを目的としていることに注意してください。 2FA、NIST800-63Bの代替品ではありません。 メンテナは2FA認証を選択することをお勧めします。 これにより、拡張ログイン検証を実行する必要がなくなります。
最初の500の移行が完了すると、変更はXNUMXの最も人気のあるNPMパッケージに伝播されます 依存関係の数に関して。
ワンタイムパスワードを生成するために現在利用可能なアプリケーションベースのXNUMX要素認証スキーム(Authy、Google Authenticator、FreeOTPなど)に加えて、 2022年XNUMX月に、ハードウェアキーと生体認証スキャナーを使用する機能を追加する予定です。 WebAuthnプロトコルがサポートされているだけでなく、さまざまな追加の認証要素を登録および管理する機能もあります。
2020年に実施された調査によると、パッケージマネージャーの9.27%のみがアクセスを保護するために二要素認証を使用しており、13.37%の場合、開発者は新しいアカウントを登録するときに、既知のパスワードに表示される侵害されたパスワードを再利用しようとしたことを思い出してください。
パスワード強度分析中 中古、 NPMのアカウントの12%がアクセスされました (パッケージの13%)「123456」などの予測可能で些細なパスワードを使用しているため。 問題の中には、最も人気のある4個のパッケージの20つのユーザーアカウント、13か月に50万回以上ダウンロードされた40個のアカウント、10か月に282万回以上ダウンロードされた1個、52か月にXNUMX万回以上ダウンロードされたXNUMX個のアカウントがありました。 依存関係のチェーンに沿ったモジュールの負荷を考慮すると、信頼できないアカウントを危険にさらすと、NPM内のすべてのモジュールの合計で最大XNUMX%に影響を与える可能性があります。
最後に あなたがそれについてもっと知りたいのなら、 元のメモで詳細を確認できます 次のリンクで。