NPM meneruskan masalah keselamatan dan kini satu telah menjejaskan sistem kemas kini

Darkcrizt

Minit 4

Beberapa hari yang lalu GitHub mendedahkan dua insiden dalam infrastruktur repositori pakej NPM, yang mana ia memperincikan bahawa pada 2 November, penyelidik keselamatan pihak ketiga sebagai sebahagian daripada program Bug Bounty mendapati kelemahan dalam repositori NPM yang membenarkan untuk menerbitkan versi baharu mana-mana pakej yang digunakan walaupun ia tidak dibenarkan untuk melaksanakan kemas kini sedemikian.

Kerentanan itu disebabkan oleh semakan kebenaran yang salah dalam kod perkhidmatan mikro proses itu meminta kepada NPM. Perkhidmatan kebenaran melakukan semakan kebenaran pada pakej berdasarkan data yang dihantar dalam permintaan, tetapi perkhidmatan lain yang memuat naik kemas kini ke repositori menentukan pakej untuk diterbitkan berdasarkan kandungan metadata dalam pakej yang dimuat naik.

Oleh itu, penyerang boleh meminta penerbitan kemas kini untuk pakejnya, yang dia mempunyai akses, tetapi menunjukkan dalam pakej itu sendiri maklumat tentang pakej lain, yang akhirnya akan dikemas kini.

Sejak beberapa bulan lalu, pasukan npm telah melabur dalam infrastruktur dan peningkatan keselamatan untuk mengautomasikan pemantauan dan analisis versi pakej yang dikeluarkan baru-baru ini untuk mengenal pasti perisian hasad dan kod hasad lain dalam masa nyata.

Terdapat dua kategori utama peristiwa penyiaran perisian hasad yang berlaku dalam ekosistem npm: perisian hasad yang disiarkan disebabkan oleh rampasan akaun dan perisian hasad yang disiarkan oleh penyerang melalui akaun mereka sendiri. Walaupun pemerolehan akaun berimpak tinggi agak jarang berlaku, berbanding dengan perisian hasad langsung yang disiarkan oleh penyerang menggunakan akaun mereka sendiri, pemerolehan akaun boleh mencapai jauh apabila menyasarkan penyelenggara pakej popular. Walaupun pengesanan dan masa tindak balas kami kepada pemerolehan pakej popular adalah serendah 10 minit dalam insiden baru-baru ini, kami terus mengembangkan keupayaan pengesanan perisian hasad dan strategi pemberitahuan kami ke arah model tindak balas yang lebih proaktif.

Masalahnya ia telah ditetapkan 6 jam selepas kerentanan dilaporkan, tetapi kerentanan itu hadir dalam NPM lebih lama daripada apa yang dilindungi oleh log telemetri. GitHub menyatakan bahawa tiada kesan serangan menggunakan kelemahan ini sejak September 2020, tetapi tidak ada jaminan bahawa masalah itu tidak dieksploitasi sebelum ini.

Kejadian kedua berlaku pada 26 Oktober. Semasa menjalankan kerja teknikal dengan pangkalan data perkhidmatan replicant.npmjs.com, ia telah mendedahkan bahawa terdapat data sulit dalam pangkalan data yang tersedia untuk perundingan luar, mendedahkan maklumat tentang nama pakej dalaman yang disebut dalam changelog.

Maklumat mengenai nama-nama tersebut boleh digunakan untuk menjalankan serangan kebergantungan pada projek dalaman (Pada bulan Februari, serangan sedemikian membenarkan kod dijalankan pada pelayan PayPal, Microsoft, Apple, Netflix, Uber dan 30 syarikat lain.)

Selain itu, berhubung dengan peningkatan insiden penyitaan repositori projek besar dan promosi kod hasad melalui kompromi akaun pembangun, GitHub memutuskan untuk memperkenalkan pengesahan dua faktor mandatori. Perubahan akan berkuat kuasa pada suku pertama 2022 dan akan dikenakan kepada penyelenggara dan pentadbir pakej yang disertakan dalam senarai yang paling popular. Selain itu, maklumat disediakan mengenai pemodenan infrastruktur, di mana pemantauan automatik dan analisis versi pakej baharu akan diperkenalkan untuk pengesanan awal perubahan berniat jahat.

Ingat bahawa menurut kajian yang dijalankan pada tahun 2020, hanya 9.27% ​​pengurus pakej menggunakan pengesahan dua faktor untuk melindungi akses, dan dalam 13.37% kes, apabila mendaftar akaun baharu, pembangun cuba menggunakan semula kata laluan yang dikompromi yang muncul dalam kata laluan yang diketahui. .

Semasa menyemak kekuatan kata laluan yang digunakan, 12% daripada akaun dalam NPM (13% daripada pakej) telah diakses kerana penggunaan kata laluan yang boleh diramal dan remeh seperti "123456". Antara masalahnya ialah 4 akaun pengguna daripada 20 pakej paling popular, 13 akaun yang pakejnya dimuat turun lebih daripada 50 juta kali sebulan, 40 - lebih daripada 10 juta muat turun sebulan dan 282 akaun dengan lebih daripada 1 juta muat turun sebulan. Memandangkan beban modul sepanjang rantaian tanggungan, menjejaskan akaun yang tidak dipercayai boleh menjejaskan sehingga 52% daripada semua modul dalam NPM secara keseluruhan.

Akhirnya, sekiranya anda berminat untuk mengetahui lebih lanjut mengenainya anda boleh menyemak butirannya Dalam pautan berikut.


Tinggalkan komen anda

Alamat email anda tidak akan disiarkan. Ruangan yang diperlukan ditanda dengan *

*

*

  1. Bertanggungjawab untuk data: AB Internet Networks 2008 SL
  2. Tujuan data: Mengendalikan SPAM, pengurusan komen.
  3. Perundangan: Persetujuan anda
  4. Komunikasi data: Data tidak akan disampaikan kepada pihak ketiga kecuali dengan kewajiban hukum.
  5. Penyimpanan data: Pangkalan data yang dihoskan oleh Occentus Networks (EU)
  6. Hak: Pada bila-bila masa anda boleh menghadkan, memulihkan dan menghapus maklumat anda.