며칠 전 GitHub는 NPM 패키지 저장소 인프라에서 두 가지 사건을 공개했습니다. 그 중 2월 XNUMX일 버그 바운티 프로그램의 일환으로 타사 보안 연구원이 NPM 저장소에서 취약점을 발견했다고 자세히 설명합니다. 승인되지 않은 경우에도 사용하여 모든 패키지의 새 버전을 게시할 수 있습니다. 이러한 업데이트를 수행합니다.
취약점은 마이크로서비스 코드의 잘못된 인증 확인으로 인해 발생했습니다. NPM에 대한 요청을 처리합니다. 권한 부여 서비스는 요청에 전달된 데이터를 기반으로 패키지에 대한 권한 검사를 수행했지만 저장소에 업데이트를 업로드하는 다른 서비스가 업로드된 패키지의 메타데이터 콘텐츠를 기반으로 게시할 패키지를 결정했습니다.
따라서 공격자는 액세스 권한이 있는 자신의 패키지에 대한 업데이트 게시를 요청할 수 있지만 결국 업데이트될 다른 패키지에 대한 정보를 패키지 자체에 표시할 수 있습니다.
지난 몇 달 동안 npm 팀은 악성코드 및 기타 악성 코드를 실시간으로 식별하기 위해 최근 출시된 패키지 버전의 모니터링 및 분석을 자동화하기 위해 인프라 및 보안 개선에 투자해 왔습니다.
npm 생태계에서 발생하는 악성코드 게시 이벤트에는 계정 도용으로 인해 게시되는 악성코드와 공격자가 자신의 계정을 통해 게시하는 악성코드의 두 가지 주요 범주가 있습니다. 영향력이 큰 계정 획득은 상대적으로 드물지만 공격자가 자신의 계정을 사용하여 게시한 직접 맬웨어와 비교할 때 인기 있는 패키지 유지 관리자를 대상으로 하는 경우 계정 획득이 훨씬 광범위할 수 있습니다. 최근 사고에서 인기 있는 패키지 획득에 대한 탐지 및 응답 시간이 10분 정도로 짧았지만 더 적극적인 대응 모델을 위해 멀웨어 탐지 기능과 알림 전략을 계속 발전시키고 있습니다.
문제 취약점이 보고된 지 6시간 후에 수정되었지만 취약점이 NPM에 더 오래 존재했습니다. 원격 분석 로그가 다루는 것보다 GitHub는 이 취약점을 사용한 공격의 흔적이 없다고 밝혔습니다. 2020년 XNUMX월부터하지만 문제가 이전에 악용되지 않았다는 보장은 없습니다.
두 번째 사건은 26월 XNUMX일에 일어났다. Replicant.npmjs.com 서비스 데이터베이스로 기술 작업을 하는 과정에서, 데이터베이스에 외부 협의가 가능한 기밀 데이터가 있음이 밝혀졌습니다., 변경 로그에 언급된 내부 패키지의 이름에 대한 정보를 표시합니다.
그 이름에 대한 정보 내부 프로젝트에 대한 종속성 공격을 수행하는 데 사용할 수 있습니다. (30월에는 이러한 공격으로 PayPal, Microsoft, Apple, Netflix, Uber 및 기타 XNUMX개 회사의 서버에서 코드가 실행되었습니다.)
또한, 대규모 프로젝트의 리포지토리 압수 사례 증가와 관련하여 및 개발자 계정의 손상을 통한 악성 코드의 조장, GitHub, 필수 이중 인증 도입 결정. 변경 사항은 2022년 XNUMX분기에 적용되며 가장 인기 있는 목록에 포함된 패키지의 유지 관리자 및 관리자에게 적용됩니다. 또한 악성 변경의 조기 탐지를 위해 새 버전의 패키지에 대한 자동화된 모니터링 및 분석을 도입할 인프라 현대화에 대해 보고합니다.
2020년에 수행된 연구에 따르면 패키지 관리자의 9.27%만이 액세스를 보호하기 위해 이중 인증을 사용하고 13.37%의 경우에서 새 계정을 등록할 때 개발자가 알려진 암호에 나타나는 손상된 암호를 재사용하려고 시도했습니다. .
사용된 비밀번호의 강도를 확인하는 동안 "12"과 같은 예측 가능하고 간단한 비밀번호를 사용하여 NPM 계정의 13%(패키지 중 123456%)에 액세스했습니다. 문제 중에는 가장 인기 있는 패키지 4개의 사용자 계정 20개, 패키지 다운로드 횟수가 월 13천만 회 이상인 계정 50개, 월 다운로드 횟수가 40천만 회 이상인 계정이 10개, 월 다운로드 횟수가 282만회 이상인 계정이 1개였습니다. 종속성 체인을 따라 모듈의 부하를 고려할 때 신뢰할 수 없는 계정을 손상시키면 NPM의 전체 모듈 중 최대 52%에 영향을 미칠 수 있습니다.
마지막으로, 그것에 대해 더 많이 알고 싶다면 세부 사항을 확인할 수 있습니다 다음 링크에서.