Prieš kelias dienas „GitHub“ atskleidė du incidentus NPM paketų saugyklos infrastruktūroje, iš kurių išsamiai aprašoma, kad lapkričio 2 d. trečiųjų šalių saugumo tyrinėtojai, dalyvaujantys programoje „Bug Bounty“, aptiko pažeidžiamumą NPM saugykloje. leidžia publikuoti naują bet kurio paketo versiją, net jei jis nėra įgaliotas atlikti tokius atnaujinimus.
Pažeidžiamumas atsirado dėl neteisingų mikropaslaugų kodo autorizacijos patikrinimų kad apdoroja NPM užklausas. Autorizacijos tarnyba atliko paketų leidimų patikrą pagal užklausoje perduotus duomenis, tačiau kita tarnyba, kuri įkeldavo naujinimą į saugyklą, pagal įkelto paketo metaduomenų turinį nustatė skelbtiną paketą.
Taigi užpuolikas gali prašyti paskelbti savo paketo, prie kurio jis turi prieigą, naujinimą, tačiau pačiame pakete nurodyti informaciją apie kitą paketą, kuris galiausiai būtų atnaujintas.
Pastaruosius kelis mėnesius npm komanda investavo į infrastruktūros ir saugumo patobulinimus, siekdama automatizuoti neseniai išleistų paketo versijų stebėjimą ir analizę, kad būtų galima realiuoju laiku atpažinti kenkėjiškas programas ir kitą kenkėjišką kodą.
Yra dvi pagrindinės kenkėjiškų programų paskelbimo įvykių, vykstančių npm ekosistemoje, kategorijos: kenkėjiškos programos, kurios paskelbtos dėl paskyros užgrobimo, ir kenkėjiškos programos, kurias užpuolikai skelbia per savo paskyras. Nors didelio poveikio paskyrų įsigijimas yra gana retas, palyginti su tiesiogine kenkėjiška programine įranga, kurią užpuolikai paskelbė naudodami savo paskyras, paskyrų įsigijimas gali būti toli siekiantis, kai taikytasi į populiarius paketų prižiūrėtojus. Nors per pastaruosius incidentus mūsų aptikimo ir reakcijos į populiarius paketus įsigijimo laikas buvo vos 10 minučių, mes ir toliau tobuliname kenkėjiškų programų aptikimo galimybes ir pranešimų strategijas, siekdami aktyvesnio atsako modelio.
Problema jis buvo ištaisytas praėjus 6 valandoms po pranešimo apie pažeidžiamumą, tačiau pažeidžiamumas NPM buvo ilgiau nei tai, ką apima telemetrijos žurnalai. „GitHub“ teigia, kad atakų naudojant šį pažeidžiamumą nebuvo jokių pėdsakų nuo 2020 metų rugsėjo mėn, tačiau nėra garantijos, kad problema anksčiau nebuvo išnaudota.
Antrasis incidentas įvyko spalio 26 d. Atliekant techninį darbą su replicant.npmjs.com paslaugų duomenų baze, paaiškėjo, kad duomenų bazėje yra konfidencialių duomenų, kuriais galima konsultuotis iš išorės, atskleidžianti informaciją apie vidinių paketų pavadinimus, kurie buvo paminėti pakeitimų žurnale.
Informacija apie tuos vardus gali būti naudojamas vidinių projektų priklausomybės atakoms vykdyti (Vasario mėn. tokia ataka leido kodui paleisti PayPal, Microsoft, Apple, Netflix, Uber ir 30 kitų įmonių serveriuose.)
Be to, dėl didėjančio didelių projektų saugyklų konfiskavimo atvejų ir kenkėjiško kodo reklamavimas pažeidžiant kūrėjų paskyras, „GitHub“ nusprendė įvesti privalomą dviejų veiksnių autentifikavimą. Pakeitimas įsigalios 2022 metų pirmąjį ketvirtį ir bus taikomas į populiariausiųjų sąrašą įtrauktų paketų prižiūrėtojams bei administratoriams. Be to, pateikiama informacija apie infrastruktūros modernizavimą, kurioje bus įdiegtas automatizuotas naujų paketų versijų stebėjimas ir analizė, siekiant anksti aptikti kenkėjiškus pakeitimus.
Prisiminkite, kad 2020 m. atlikto tyrimo duomenimis, tik 9.27% paketų valdytojų naudoja dviejų veiksnių autentifikavimą, kad apsaugotų prieigą, o 13.37% atvejų registruodami naujas paskyras kūrėjai bandė pakartotinai naudoti pažeistus slaptažodžius, kurie yra žinomuose slaptažodžiuose. .
Tikrinant naudojamų slaptažodžių stiprumą, 12% NPM paskyrų (13% paketų) buvo pasiekti dėl nuspėjamų ir nereikšmingų slaptažodžių, tokių kaip „123456“, naudojimo. Tarp problemų buvo 4 vartotojų paskyros iš 20 populiariausių paketų, 13 paskyrų, kurių paketai buvo atsisiunčiami daugiau nei 50 milijonų kartų per mėnesį, 40 - daugiau nei 10 milijonų atsisiuntimų per mėnesį ir 282 paskyrų, kurių paketai buvo atsisiunčiami daugiau nei 1 milijoną per mėnesį. Atsižvelgiant į modulių apkrovą visoje priklausomybių grandinėje, nepatikimos paskyros gali turėti įtakos iki 52 % visų NPM modulių.
Galiausiai, jei norite sužinoti daugiau apie tai galite patikrinti išsamią informaciją Šioje nuorodoje.