काही दिवसांपूर्वी GitHub ने NPM पॅकेज रेपॉजिटरी इन्फ्रास्ट्रक्चरमधील दोन घटना उघड केल्या, ज्याचा तपशील आहे की 2 नोव्हेंबर रोजी, तृतीय-पक्ष सुरक्षा संशोधकांना बग बाउंटी कार्यक्रमाचा भाग म्हणून NPM भांडारात एक असुरक्षा आढळली जे अधिकृत नसले तरीही वापरून कोणत्याही पॅकेजची नवीन आवृत्ती प्रकाशित करण्यास अनुमती देते अशी अद्यतने करण्यासाठी.
मायक्रोसर्व्हिसेस कोडमधील चुकीच्या ऑथोरायझेशन चेकमुळे भेद्यता आली ती प्रक्रिया NPM ला विनंती करते. प्राधिकृत सेवेने विनंतीमध्ये पास केलेल्या डेटाच्या आधारे पॅकेजेसची परवानगी तपासणी केली, परंतु रिपॉझिटरीमध्ये अपडेट अपलोड करणाऱ्या दुसर्या सेवेने अपलोड केलेल्या पॅकेजमधील मेटाडेटा सामग्रीवर आधारित पॅकेज प्रकाशित करण्यासाठी पॅकेज निश्चित केले.
अशाप्रकारे, आक्रमणकर्ता त्याच्या पॅकेजसाठी अद्यतन प्रकाशित करण्याची विनंती करू शकतो, ज्यामध्ये त्याला प्रवेश आहे, परंतु पॅकेजमध्येच दुसर्या पॅकेजबद्दल माहिती सूचित करते, जी शेवटी अद्यतनित केली जाईल.
गेल्या काही महिन्यांपासून, npm टीम रिअल टाइममध्ये मालवेअर आणि इतर दुर्भावनायुक्त कोड ओळखण्यासाठी अलीकडेच रिलीज झालेल्या पॅकेज आवृत्त्यांचे निरीक्षण आणि विश्लेषण स्वयंचलित करण्यासाठी पायाभूत सुविधा आणि सुरक्षा सुधारणांमध्ये गुंतवणूक करत आहे.
मालवेअर पोस्टिंग इव्हेंटच्या दोन मुख्य श्रेणी आहेत जे npm इकोसिस्टममध्ये घडतात: खाते अपहरणामुळे पोस्ट केलेले मालवेअर आणि आक्रमणकर्ते त्यांच्या स्वतःच्या खात्यांद्वारे पोस्ट करतात. आक्रमणकर्त्यांनी त्यांची स्वतःची खाती वापरून पोस्ट केलेल्या थेट मालवेअरच्या तुलनेत उच्च-प्रभाव असलेले खाते संपादन तुलनेने दुर्मिळ असले तरी, लोकप्रिय पॅकेज देखरेख करणाऱ्यांना लक्ष्य करताना खाते संपादन खूप दूरगामी असू शकते. अलीकडील घटनांमध्ये लोकप्रिय पॅकेजेसच्या संपादनासाठी आमचा शोध आणि प्रतिसाद वेळ 10 मिनिटांपेक्षा कमी असताना, आम्ही अधिक सक्रिय प्रतिसाद मॉडेलच्या दिशेने आमच्या मालवेअर शोधण्याची क्षमता आणि सूचना धोरणे विकसित करणे सुरू ठेवतो.
समस्या असुरक्षा कळवल्यानंतर 6 तासांनी ते निश्चित केले गेले, परंतु असुरक्षा NPM मध्ये जास्त काळ उपस्थित होती टेलीमेट्री लॉग कव्हर करतात त्यापेक्षा. GitHub म्हणते की या भेद्यतेचा वापर करून हल्ल्यांचे कोणतेही ट्रेस आढळले नाहीत सप्टेंबर 2020 पासून, परंतु याआधी समस्येचे शोषण केले गेले नाही याची कोणतीही हमी नाही.
दुसरी घटना २६ ऑक्टोबर रोजी घडली. replicant.npmjs.com सेवा डेटाबेससह तांत्रिक काम करताना, बाह्य सल्लामसलत करण्यासाठी उपलब्ध डेटाबेसमध्ये गोपनीय डेटा असल्याचे उघड झाले, चेंजलॉगमध्ये नमूद केलेल्या अंतर्गत पॅकेजेसच्या नावांबद्दल माहिती उघड करणे.
त्या नावांची माहिती अंतर्गत प्रकल्पांवर अवलंबित्व हल्ले करण्यासाठी वापरले जाऊ शकते (फेब्रुवारीमध्ये, अशा हल्ल्यामुळे PayPal, Microsoft, Apple, Netflix, Uber आणि इतर 30 कंपन्यांच्या सर्व्हरवर कोड चालू झाला.)
तसेच, मोठ्या प्रकल्पांचे भांडार जप्त करण्याच्या वाढत्या घटनांच्या संबंधात आणि विकसक खात्यांशी तडजोड करून दुर्भावनापूर्ण कोडचा प्रचार, GitHub ने अनिवार्य द्वि-घटक प्रमाणीकरण सुरू करण्याचा निर्णय घेतला. हा बदल 2022 च्या पहिल्या तिमाहीत लागू होईल आणि सर्वात लोकप्रिय यादीमध्ये समाविष्ट केलेल्या पॅकेजच्या देखभाल करणार्यांना आणि प्रशासकांना लागू होईल. याव्यतिरिक्त, ते पायाभूत सुविधांच्या आधुनिकीकरणाचा अहवाल देते, जे दुर्भावनापूर्ण बदल लवकर ओळखण्यासाठी पॅकेजच्या नवीन आवृत्त्यांचे स्वयंचलित निरीक्षण आणि विश्लेषण सादर करेल.
लक्षात ठेवा की 2020 मध्ये केलेल्या अभ्यासानुसार, केवळ 9.27% पॅकेज व्यवस्थापक प्रवेश संरक्षित करण्यासाठी द्वि-घटक प्रमाणीकरण वापरतात आणि 13.37% प्रकरणांमध्ये, नवीन खात्यांची नोंदणी करताना, विकसकांनी ज्ञात पासवर्डमध्ये दिसणारे तडजोड केलेले पासवर्ड पुन्हा वापरण्याचा प्रयत्न केला. .
वापरलेल्या पासवर्डची ताकद तपासताना, NPM मधील 12% खाती (पॅकेजपैकी 13%) "123456" सारख्या अंदाजे आणि क्षुल्लक पासवर्डच्या वापरामुळे ऍक्सेस करण्यात आली. समस्यांपैकी 4 सर्वात लोकप्रिय पॅकेजेसपैकी 20 वापरकर्ता खाती, 13 खाती ज्यांचे पॅकेज दरमहा 50 दशलक्ष वेळा डाउनलोड केले गेले, 40 - दरमहा 10 दशलक्षाहून अधिक डाउनलोड आणि 282 दरमहा 1 दशलक्षाहून अधिक डाउनलोड. अवलंबित्वांच्या साखळीतील मॉड्यूल लोड लक्षात घेता, अविश्वासू खात्यांशी तडजोड केल्याने NPM मधील एकूण मॉड्यूल्सपैकी 52% पर्यंत परिणाम होऊ शकतो.
शेवटी, आपल्याला त्याबद्दल अधिक जाणून घेण्यात स्वारस्य असल्यास आपण तपशील तपासू शकता पुढील लिंकवर