GitHub heeft onlangs enkele wijzigingen in het NPM-ecosysteem vrijgegeven met betrekking tot de beveiligingsproblemen die zich hebben voorgedaan en een van de meest recente was dat sommige aanvallers erin slaagden de controle over het coa NPM-pakket over te nemen en updates 2.0.3, 2.0.4, 2.1.1, 2.1.3 en 3.1.3 uitbrachten. XNUMX, die kwaadaardige wijzigingen bevatte.
In verband hiermee en met de toenemende incidentie van aanvallen van repositories van grote projecten en het promoten van kwaadaardige code Door het compromitteren van ontwikkelaarsaccounts introduceert GitHub uitgebreide accountverificatie.
Los daarvan wordt begin volgend jaar voor beheerders en beheerders van de 500 populairste NPM-pakketten de verplichte tweefactorauthenticatie ingevoerd.
Van 7 december 2021 tot 4 januari 2022, alle beheerders die het recht hebben om NPM-pakketten vrij te geven, maar die geen twee-factor-authenticatie gebruiken, worden overgezet om uitgebreide accountverificatie te gebruiken. Uitgebreide verificatie houdt in dat u een unieke code moet invoeren die via e-mail wordt verzonden wanneer u probeert de npmjs.com-site te betreden of een geverifieerde bewerking uit te voeren in het npm-hulpprogramma.
Uitgebreide verificatie vervangt niet, maar vormt alleen een aanvulling op optionele tweefactorauthenticatie eerder beschikbaar, waarvoor verificatie van eenmalige wachtwoorden (TOTP) vereist is. Uitgebreide e-mailverificatie is niet van toepassing wanneer tweefactorauthenticatie is ingeschakeld. Vanaf 1 februari 2022 begint het proces om over te stappen op verplichte tweefactorauthenticatie van de 100 populairste NPM-pakketten met de meeste afhankelijkheden.
Vandaag introduceren we de verbeterde login-verificatie in het npm-register, en we zullen beginnen met een gespreide uitrol voor beheerders vanaf 7 december en eindigend op 4 januari. Beheerders van Npm-registers die toegang hebben tot het publiceren van pakketten en geen tweefactorauthenticatie (2FA) hebben ingeschakeld, ontvangen een e-mail met een eenmalig wachtwoord (OTP) wanneer ze zich authenticeren via de npmjs.com-website of de Npm CLI.
Deze OTP per e-mail moet worden verstrekt naast het wachtwoord van de gebruiker voordat wordt geverifieerd. Deze extra authenticatielaag helpt bij het voorkomen van veelvoorkomende aanvallen op het kapen van accounts, zoals het opvullen van inloggegevens, waarbij gebruik wordt gemaakt van het gecompromitteerde en hergebruikte wachtwoord van een gebruiker. Het is vermeldenswaard dat Verbeterde aanmeldingsverificatie bedoeld is als een aanvullende basisbescherming voor alle uitgevers. Het is geen vervanging voor 2FA, NIST 800-63B. We moedigen beheerders aan om te kiezen voor 2FA-authenticatie. Door dit te doen, hoeft u geen uitgebreide inlogverificatie uit te voeren.
Nadat de migratie van de eerste honderd is voltooid, wordt de wijziging doorgevoerd in de 500 populairste NPM-pakketten in termen van aantal afhankelijkheden.
Naast de momenteel beschikbare applicatiegebaseerde tweefactorauthenticatieschema's voor het genereren van eenmalige wachtwoorden (Authy, Google Authenticator, FreeOTP, enz.), in april 2022 zijn ze van plan de mogelijkheid toe te voegen om hardwaresleutels en biometrische scanners te gebruiken waarvoor er ondersteuning is voor het WebAuthn-protocol, evenals de mogelijkheid om verschillende aanvullende authenticatiefactoren te registreren en te beheren.
Bedenk dat volgens een studie uitgevoerd in 2020 slechts 9.27% van de pakketbeheerders tweefactorauthenticatie gebruikt om de toegang te beschermen, en in 13.37% van de gevallen, bij het registreren van nieuwe accounts, ontwikkelaars probeerden gecompromitteerde wachtwoorden opnieuw te gebruiken die in bekende wachtwoorden voorkomen .
Tijdens de analyse van de wachtwoordsterkte gebruikt, 12% van de accounts in NPM is geopend (13% van de pakketten) vanwege het gebruik van voorspelbare en triviale wachtwoorden zoals "123456". Onder de problemen waren 4 gebruikersaccounts van de 20 meest populaire pakketten, 13 accounts waarvan de pakketten meer dan 50 miljoen keer per maand werden gedownload, 40 - meer dan 10 miljoen downloads per maand en 282 met meer dan 1 miljoen downloads per maand. Gezien de belasting van modules langs de keten van afhankelijkheden, kan het compromitteren van niet-vertrouwde accounts in totaal tot 52% van alle modules in NPM beïnvloeden.
Eindelijk Als u er meer over wilt weten, u kunt de details in de originele notitie controleren In de volgende link.