„GitHub“ neseniai išleido kai kuriuos NPM ekosistemos pakeitimus Kalbant apie iškilusias saugumo problemas ir viena iš naujausių buvo ta, kad kai kuriems užpuolikams pavyko perimti coa NPM paketą ir išleido 2.0.3, 2.0.4, 2.1.1, 2.1.3 ir 3.1.3 atnaujinimus. XNUMX, kuriame buvo kenkėjiškų pakeitimų.
Atsižvelgiant į tai ir didėjantį saugyklų priepuolių dažnį didelių projektų ir reklamuoti kenkėjišką kodą Dėl kūrėjų paskyrų pažeidimo „GitHub“ pristato išplėstinį paskyros patvirtinimą.
Atskirai 500 populiariausių NPM paketų prižiūrėtojams ir administratoriams kitų metų pradžioje bus įvestas privalomas dviejų veiksnių autentifikavimas.
Nuo 7 m. gruodžio 2021 d. iki 4 m. sausio 2022 d. visi prižiūrėtojai, turintys teisę išleisti NPM paketus, bet nenaudojantys dviejų veiksnių autentifikavimo, bus perkelti naudoti išplėstinį paskyros patvirtinimą. Išplėstinis patvirtinimas apima poreikį įvesti unikalų kodą, kuris siunčiamas el. paštu, kai bandoma patekti į npmjs.com svetainę arba atlikti autentifikuotą operaciją npm paslaugų programoje.
Išplėstinis tikrinimas nepakeičia, bet tik papildo pasirenkamą dviejų veiksnių autentifikavimą anksčiau buvo prieinama, todėl reikia patikrinti vienkartinius slaptažodžius (TOTP). Išplėstinis el. pašto patvirtinimas netaikomas kai įjungtas dviejų veiksnių autentifikavimas. Nuo 1 m. vasario 2022 d. prasidės 100 populiariausių NPM paketų, turinčių daugiausia priklausomybių, privalomo dviejų veiksnių autentifikavimo procesas.
Šiandien pristatome patobulintą prisijungimo patvirtinimą npm registre ir pradėsime laipsnišką išleidimą prižiūrėtojams nuo gruodžio 7 d. iki sausio 4 d. Npm registro prižiūrėtojai, turintys prieigą prie paketų paskelbimo ir neįjungę dviejų veiksnių autentifikavimo (2FA), gaus el. laišką su vienkartiniu slaptažodžiu (OTP), kai autentifikuosis naudodami npmjs.com svetainę arba Npm CLI.
Šis el. paštu išsiųstas vienkartinis slaptažodis turės būti pateiktas kartu su vartotojo slaptažodžiu prieš autentifikuojant. Šis papildomas autentifikavimo sluoksnis padeda išvengti įprastų paskyros užgrobimo atakų, pvz., kredencialų užpildymo, kai naudojamas pažeistas ir pakartotinai naudojamas vartotojo slaptažodis. Verta paminėti, kad patobulintas prisijungimo patvirtinimas yra papildoma pagrindinė visų leidėjų apsauga. Tai nėra 2FA, NIST 800-63B pakaitalas. Raginame prižiūrėtojus pasirinkti 2FA autentifikavimą. Tai darant, jums nereikės atlikti patobulinto prisijungimo patvirtinimo.
Perkėlus pirmąjį šimtą, pakeitimas bus perkeltas į 500 populiariausių NPM paketų pagal priklausomybių skaičių.
Be šiuo metu prieinamų taikomųjų programų dviejų veiksnių autentifikavimo schemų, skirtų vienkartiniams slaptažodžiams generuoti (Authy, Google Authenticator, FreeOTP ir kt.), 2022 m. balandžio mėn. jie planuoja pridėti galimybę naudoti aparatūros raktus ir biometrinius skaitytuvus kuriam palaikomas WebAuthn protokolas, taip pat galimybė registruotis ir valdyti įvairius papildomus autentifikavimo veiksnius.
Prisiminkite, kad 2020 m. atlikto tyrimo duomenimis, tik 9.27% paketų valdytojų naudoja dviejų veiksnių autentifikavimą, kad apsaugotų prieigą, o 13.37% atvejų registruodami naujas paskyras kūrėjai bandė pakartotinai naudoti pažeistus slaptažodžius, kurie yra žinomuose slaptažodžiuose. .
Slaptažodžio stiprumo analizės metu naudotas, Buvo pasiekta 12 % NPM paskyrų (13 % paketų) dėl nuspėjamų ir nereikšmingų slaptažodžių, tokių kaip „123456“, naudojimo. Tarp problemų buvo 4 vartotojų paskyros iš 20 populiariausių paketų, 13 paskyrų, kurių paketai buvo atsisiunčiami daugiau nei 50 milijonų kartų per mėnesį, 40 - daugiau nei 10 milijonų atsisiuntimų per mėnesį ir 282 paskyrų, kurių paketai buvo atsisiunčiami daugiau nei 1 milijoną per mėnesį. Atsižvelgiant į modulių apkrovą priklausomybių grandinėje, nepatikimos paskyros gali turėti įtakos iki 52 % visų NPM modulių.
Pagaliau Jei norite sužinoti daugiau apie tai, detales galite patikrinti originaliame užraše Šioje nuorodoje.