Pirms dažām dienām GitHub atklāja divus incidentus NPM pakotnes repozitorija infrastruktūrā, no kuriem detalizēti norādīts, ka 2. novembrī trešo pušu drošības pētnieki programmas Bug Bounty ietvaros atklāja ievainojamību NPM repozitorijā. kas ļauj publicēt jaunu jebkuras pakotnes versiju, izmantojot pat tad, ja tā nav autorizēta veikt šādus atjauninājumus.
Ievainojamību izraisīja nepareizas autorizācijas pārbaudes mikropakalpojumu kodā kas apstrādā pieprasījumus NPM. Autorizācijas pakalpojums veica pakotņu atļauju pārbaudi, pamatojoties uz pieprasījumā nodotajiem datiem, bet cits pakalpojums, kas augšupielādēja atjauninājumu krātuvē, noteica publicējamo pakotni, pamatojoties uz metadatu saturu augšupielādētajā pakotnē.
Tādējādi uzbrucējs var pieprasīt savas pakotnes, kurai viņam ir piekļuve, atjauninājuma publicēšanu, bet pašā pakotnē norādīt informāciju par citu pakotni, kas galu galā tiks atjaunināta.
Dažus pēdējos mēnešus npm komanda ir investējusi infrastruktūras un drošības uzlabojumos, lai automatizētu nesen izlaisto pakotņu versiju uzraudzību un analīzi, lai reāllaikā identificētu ļaunprātīgu programmatūru un citu ļaunprātīgu kodu.
Ir divas galvenās ļaunprātīgas programmatūras publicēšanas notikumu kategorijas, kas notiek npm ekosistēmā: ļaunprātīga programmatūra, kas tiek publicēta konta nolaupīšanas dēļ, un ļaunprātīga programmatūra, ko uzbrucēji publicē, izmantojot savus kontus. Lai gan spēcīgas kontu iegūšanas gadījumi ir salīdzinoši reti, salīdzinājumā ar tiešu ļaunprātīgu programmatūru, ko ievietojuši uzbrucēji, izmantojot savus kontus, kontu iegūšana var būt tālejoša, ja mērķauditorija ir populāri pakotņu uzturētāji. Lai gan mūsu noteikšanas un reakcijas laiks uz populāro pakotņu iegādi pēdējos gadījumos ir bijis tikai 10 minūtes, mēs turpinām attīstīt savas ļaunprātīgas programmatūras noteikšanas iespējas un paziņošanas stratēģijas, lai izveidotu aktīvāku reakcijas modeli.
Problēma tā tika novērsta 6 stundas pēc ievainojamības ziņošanas, taču ievainojamība NPM pastāvēja ilgāk nekā aptver telemetrijas žurnāli. GitHub norāda, ka nav bijušas pēdas uzbrukumiem, izmantojot šo ievainojamību kopš 2020. gada septembra, taču nav garantijas, ka problēma iepriekš nav izmantota.
Otrs incidents notika 26. oktobrī. Veicot tehnisko darbu ar pakalpojumu datu bāzi replicant.npmjs.com, atklājās, ka datubāzē ir konfidenciāli dati, kas pieejami ārējai konsultācijai, atklājot informāciju par iekšējo pakotņu nosaukumiem, kas tika minēti izmaiņu žurnālā.
Informācija par šiem nosaukumiem var izmantot, lai veiktu atkarības uzbrukumus iekšējiem projektiem (Februārī šāds uzbrukums ļāva kodam darboties PayPal, Microsoft, Apple, Netflix, Uber un 30 citu uzņēmumu serveros.)
Turklāt, saistībā ar pieaugošo lielu projektu repozitoriju konfiskāciju biežumu un ļaunprātīga koda reklamēšana, apdraudot izstrādātāju kontus, GitHub nolēma ieviest obligātu divu faktoru autentifikāciju. Izmaiņas stāsies spēkā 2022. gada pirmajā ceturksnī un attieksies uz populārāko sarakstā iekļauto pakotņu uzturētājiem un administratoriem. Papildus tiek sniegta informācija par infrastruktūras modernizāciju, kurā tiks ieviesta automatizēta jaunu pakotņu versiju uzraudzība un analīze, lai savlaicīgi atklātu ļaunprātīgas izmaiņas.
Atgādiniet, ka saskaņā ar 2020. gadā veikto pētījumu tikai 9.27% pakotņu pārvaldnieku izmanto divu faktoru autentifikāciju, lai aizsargātu piekļuvi, un 13.37% gadījumu, reģistrējot jaunus kontus, izstrādātāji mēģināja atkārtoti izmantot uzlauztās paroles, kas parādās zināmajās parolēs. .
Pārbaudot izmantoto paroļu stiprumu, 12% kontu NPM (13% pakotņu) tika piekļūti, jo tika izmantotas paredzamas un triviālas paroles, piemēram, "123456". Starp problēmām bija 4 lietotāju konti no 20 populārākajām pakotnēm, 13 konti, kuru pakotnes tika lejupielādētas vairāk nekā 50 miljonus reižu mēnesī, 40 - vairāk nekā 10 miljoni lejupielāžu mēnesī un 282 konti ar vairāk nekā 1 miljonu lejupielāžu mēnesī. Ņemot vērā moduļu noslodzi atkarību ķēdē, neuzticamu kontu kompromitēšana var ietekmēt līdz pat 52% no visiem NPM moduļiem.
Visbeidzot, ja jūs interesē uzzināt vairāk par to jūs varat pārbaudīt informāciju Šajā saitē.