NPMはセキュリティの問題を継続し、現在は更新システムに影響を与えています

Darkcrizt

4分

何日か前に GitHubは、NPMパッケージリポジトリインフラストラクチャでXNUMXつのインシデントを明らかにしました。 2月XNUMX日に、バグバウンティプログラムの一環としてサードパーティのセキュリティ研究者がNPMリポジトリに脆弱性を発見したことを詳しく説明しています。 これにより、許可されていない場合でも、を使用して任意のパッケージの新しいバージョンを公開できます。 そのような更新を実行します。

この脆弱性は、マイクロサービスコードの不正な認証チェックが原因で発生しました そのプロセスはNPMへのリクエストを処理します。 承認サービスは、リクエストで渡されたデータに基づいてパッケージの権限チェックを実行しましたが、更新をリポジトリにアップロードしていた別のサービスが、アップロードされたパッケージのメタデータコンテンツに基づいて公開するパッケージを決定しました。

したがって、攻撃者は、アクセスできるパッケージの更新の公開を要求できますが、最終的に更新される別のパッケージに関する情報をパッケージ自体に示すことができます。

過去数か月間、npmチームはインフラストラクチャとセキュリティの改善に投資して、最近リリースされたパッケージバージョンの監視と分析を自動化し、マルウェアやその他の悪意のあるコードをリアルタイムで特定してきました。

npmエコシステムで発生するマルウェア投稿イベントには主に10つのカテゴリがあります。アカウントの乗っ取りが原因で投稿されるマルウェアと、攻撃者が自分のアカウントを介して投稿するマルウェアです。 影響力の大きいアカウントの取得は比較的まれですが、攻撃者が自分のアカウントを使用して投稿した直接的なマルウェアと比較すると、人気のあるパッケージメンテナを標的とする場合、アカウントの取得は広範囲に及ぶ可能性があります。 最近のインシデントでは、人気のあるパッケージの取得に対する検出と応答時間がXNUMX分と短いものの、マルウェア検出機能と通知戦略をよりプロアクティブな応答モデルに向けて進化させ続けています。

問題 脆弱性が報告されてから6時間後に修正されましたが、脆弱性はNPMに長く存在していました テレメトリログがカバーするものよりも。 GitHubは、この脆弱性を使用した攻撃の痕跡はないと述べています 2020年XNUMX月以降、ただし、問題が以前に悪用されたことがないという保証はありません。

26番目の事件はXNUMX月XNUMX日に起こりました。 Replicant.npmjs.comサービスデータベースを使用した技術的な作業の過程で、 データベースには外部との協議に利用できる機密データがあることが明らかになりました、変更ログに記載された内部パッケージの名前に関する情報を明らかにします。

それらの名前に関する情報 内部プロジェクトへの依存関係攻撃を実行するために使用できます (30月、このような攻撃により、PayPal、Microsoft、Apple、Netflix、Uber、およびその他XNUMX社のサーバーでコードを実行できるようになりました。)

さらに、 大規模プロジェクトのリポジトリの差し押さえの発生率の増加に関連して 開発者アカウントの侵害による悪意のあるコードの宣伝、 GitHubは必須のXNUMX要素認証を導入することを決定しました。 この変更は2022年の第XNUMX四半期に有効になり、最も人気のあるリストに含まれているパッケージのメンテナーと管理者に適用されます。 さらに、インフラストラクチャの最新化に関する情報が提供され、悪意のある変更を早期に検出するために、新しいパッケージバージョンの自動監視と分析が導入されます。

2020年に実施された調査によると、パッケージマネージャーの9.27%のみがアクセスを保護するために二要素認証を使用しており、13.37%の場合、開発者は新しいアカウントを登録するときに、既知のパスワードに表示される侵害されたパスワードを再利用しようとしたことを思い出してください。

使用されたパスワードの強度のチェック中に、「12」などの予測可能で些細なパスワードの使用により、NPMのアカウントの13%(パッケージの123456%)がアクセスされました。 問題の中には、最も人気のある4個のパッケージの20つのユーザーアカウント、13か月に50万回以上ダウンロードされた40個のアカウント、10か月に282万回以上ダウンロードされた1個、52か月にXNUMX万回以上ダウンロードされたXNUMX個のアカウントがありました。 依存関係のチェーンに沿ったモジュールの負荷を考慮すると、信頼できないアカウントを危険にさらすと、NPMのすべてのモジュールの最大XNUMX%に影響を与える可能性があります。

最後に、 あなたがそれについてもっと知りたいなら 詳細を確認できます 次のリンクで。


コメントを残す

あなたのメールアドレスが公開されることはありません。 必須フィールドには付いています *

*

*

  1. データの責任者:AB Internet Networks 2008 SL
  2. データの目的:SPAMの制御、コメント管理。
  3. 正当化:あなたの同意
  4. データの伝達:法的義務がある場合を除き、データが第三者に伝達されることはありません。
  5. データストレージ:Occentus Networks(EU)がホストするデータベース
  6. 権利:いつでも情報を制限、回復、削除できます。