GitHub nesen izlaida dažas izmaiņas NPM ekosistēmā saistībā ar drošības problēmām, kas ir radušās, un viena no jaunākajām bija tas, ka dažiem uzbrucējiem izdevās pārņemt kontroli pār koa NPM pakotni un izlaida atjauninājumus 2.0.3, 2.0.4, 2.1.1, 2.1.3 un 3.1.3. XNUMX, kas ietvēra ļaunprātīgas izmaiņas.
Saistībā ar to un pieaugošo krātuvju konfiskāciju biežumu lieliem projektiem un ļaunprātīga koda reklamēšana Izstrādātāju kontu apdraudējuma dēļ GitHub ievieš paplašinātu konta verifikāciju.
Atsevišķi 500 populārāko NPM pakotņu uzturētājiem un administratoriem nākamā gada sākumā tiks ieviesta obligāta divu faktoru autentifikācija.
No 7. gada 2021. decembra līdz 4. gada 2022. janvārim visi uzturētāji, kuriem ir tiesības izlaist NPM pakotnes, bet kuri neizmanto divu faktoru autentifikāciju, tiks pārcelti uz paplašinātās konta verifikācijas izmantošanu. Paplašināta pārbaude ietver nepieciešamību ievadīt unikālu kodu, kas tiek nosūtīts pa e-pastu, mēģinot ievadīt vietni npmjs.com vai veikt autentificētu darbību utilītprogrammā npm.
Paplašinātā verifikācija neaizstāj, bet tikai papildina izvēles divu faktoru autentifikāciju iepriekš pieejama, kas prasa vienreizējo paroļu (TOTP) pārbaudi. Pagarināta e-pasta verifikācija netiek piemērota kad ir iespējota divu faktoru autentifikācija. Sākot ar 1. gada 2022. februāri, tiks uzsākta pāreja uz obligātu divu faktoru autentifikāciju 100 populārākajām NPM pakotnēm ar visvairāk atkarību.
Šodien mēs ieviešam uzlabotu pieteikšanās verifikāciju npm reģistrā, un mēs sāksim pakāpenisku izlaišanu uzturētājiem, sākot no 7. decembra līdz 4. janvārī. Npm reģistra uzturētāji, kuriem ir piekļuve pakotņu publicēšanai un kuriem nav iespējota divu faktoru autentifikācija (2FA), autentificējoties vietnē npmjs.com vai Npm CLI, saņems e-pasta ziņojumu ar vienreizēju paroli (OTP).
Pirms autentifikācijas šī e-pastā nosūtītā OTP būs jānorāda papildus lietotāja parolei. Šis papildu autentifikācijas slānis palīdz novērst izplatītus kontu nolaupīšanas uzbrukumus, piemēram, akreditācijas datu iepildīšanu, kas izmanto uzlauztu un atkārtoti izmantotu lietotāja paroli. Ir vērts atzīmēt, ka uzlabotā pieteikšanās verifikācija ir paredzēta kā papildu pamata aizsardzība visiem izdevējiem. Tas neaizstāj 2FA, NIST 800-63B. Mēs mudinām uzturētājus izvēlēties 2FA autentifikāciju. To darot, jums nebūs jāveic uzlabota pieteikšanās pārbaude.
Pēc pirmā simta migrācijas pabeigšanas izmaiņas tiks izplatītas uz 500 populārākajām NPM pakotnēm atkarību skaita ziņā.
Papildus pašlaik pieejamajām uz lietojumprogrammām balstītām divu faktoru autentifikācijas shēmām vienreizēju paroļu ģenerēšanai (Authy, Google Authenticator, FreeOTP utt.), 2022. gada aprīlī viņi plāno pievienot iespēju izmantot aparatūras atslēgas un biometriskos skenerus kuriem ir WebAuthn protokola atbalsts, kā arī iespēja reģistrēt un pārvaldīt dažādus papildu autentifikācijas faktorus.
Atgādiniet, ka saskaņā ar 2020. gadā veikto pētījumu tikai 9.27% pakotņu pārvaldnieku izmanto divu faktoru autentifikāciju, lai aizsargātu piekļuvi, un 13.37% gadījumu, reģistrējot jaunus kontus, izstrādātāji mēģināja atkārtoti izmantot uzlauztās paroles, kas parādās zināmajās parolēs. .
Paroles stipruma analīzes laikā lietots, Tika piekļūts 12% no NPM kontiem (13% pakotņu), jo tiek izmantotas paredzamas un triviālas paroles, piemēram, "123456". Starp problēmām bija 4 lietotāju konti no 20 populārākajām pakotnēm, 13 konti, kuru pakotnes tika lejupielādētas vairāk nekā 50 miljonus reižu mēnesī, 40 - vairāk nekā 10 miljoni lejupielāžu mēnesī un 282 konti ar vairāk nekā 1 miljonu lejupielāžu mēnesī. Ņemot vērā moduļu slodzi atkarību ķēdē, neuzticamu kontu kompromitēšana var ietekmēt līdz pat 52% no visiem NPM moduļiem.
Beidzot Ja jūs interesē uzzināt vairāk par to, sīkāku informāciju varat pārbaudīt sākotnējā piezīmē Šajā saitē.