For noen dager siden GitHub avslørte to hendelser i NPM-pakkelagerinfrastrukturen, hvorav den beskriver at 2. november fant tredjeparts sikkerhetsforskere som en del av Bug Bounty-programmet en sårbarhet i NPM-depotet som gjør det mulig å publisere en ny versjon av en hvilken som helst pakke med selv om den ikke er autorisert for å utføre slike oppdateringer.
Sårbarheten var forårsaket av feil autorisasjonssjekker i mikrotjenestekoden som behandler forespørsler til NPM. Autorisasjonstjenesten utførte en tillatelsessjekk på pakkene basert på dataene som ble sendt i forespørselen, men en annen tjeneste som lastet opp oppdateringen til depotet bestemte at pakken skulle publiseres basert på metadatainnholdet i den opplastede pakken.
Dermed kan en angriper be om publisering av en oppdatering for pakken hans, som han har tilgang til, men angi i selve pakken informasjon om en annen pakke, som til slutt vil bli oppdatert.
De siste månedene har npm-teamet investert i infrastruktur- og sikkerhetsforbedringer for å automatisere overvåking og analyse av nylig utgitte pakkeversjoner for å identifisere skadelig programvare og annen skadelig kode i sanntid.
Det er to hovedkategorier av skadelig programvare som oppstår i npm-økosystemet: skadelig programvare som legges ut på grunn av kontokapring, og skadelig programvare som angripere legger ut via sine egne kontoer. Selv om kontoanskaffelser med høy effekt er relativt sjeldne, sammenlignet med direkte skadelig programvare som er lagt ut av angripere som bruker sine egne kontoer, kan kontoanskaffelser være vidtrekkende når de retter seg mot populære pakkevedlikeholdere. Mens vår oppdagelses- og responstid på populære pakkeanskaffelser har vært så lav som 10 minutter i de siste hendelsene, fortsetter vi å utvikle våre malware-deteksjonsfunksjoner og varslingsstrategier mot en mer proaktiv responsmodell.
Problemet det ble fikset 6 timer etter at sårbarheten ble rapportert, men sårbarheten var til stede i NPM lenger enn det telemetrilogger dekker. GitHub opplyser at det ikke har vært spor etter angrep ved bruk av denne sårbarheten siden september 2020, men det er ingen garanti for at problemet ikke har blitt utnyttet før.
Den andre hendelsen fant sted 26. oktober. I løpet av det tekniske arbeidet med replicant.npmjs.com-tjenestedatabasen, det ble avdekket at det var konfidensielle data i databasen tilgjengelig for ekstern konsultasjon, avslører informasjon om navnene på de interne pakkene som ble nevnt i endringsloggen.
Informasjon om disse navnene kan brukes til å utføre avhengighetsangrep på interne prosjekter (I februar tillot et slikt angrep kode å kjøre på serverne til PayPal, Microsoft, Apple, Netflix, Uber og 30 andre selskaper.)
Videre i forhold til den økende forekomsten av beslag av depoter til store prosjekter og promotering av ondsinnet kode gjennom kompromittering av utviklerkontoer, GitHub bestemte seg for å innføre obligatorisk tofaktorautentisering. Endringen trer i kraft i første kvartal 2022 og vil gjelde for vedlikeholdere og administratorer av pakkene som er inkludert i listen over de mest populære. I tillegg gis informasjon om modernisering av infrastrukturen, der automatisert overvåking og analyse av nye pakkeversjoner vil bli introdusert for tidlig oppdagelse av ondsinnede endringer.
Husk at ifølge en studie utført i 2020, bruker bare 9.27 % av pakkebehandlerne tofaktorautentisering for å beskytte tilgangen, og i 13.37 % av tilfellene, ved registrering av nye kontoer, prøvde utviklere å gjenbruke kompromitterte passord som vises i kjente passord .
Under kontrollen av styrken på passordene som ble brukt, ble 12 % av kontoene i NPM (13 % av pakkene) aksessert på grunn av bruk av forutsigbare og trivielle passord som «123456». Blant problemene var 4 brukerkontoer av de 20 mest populære pakkene, 13 kontoer hvis pakker ble lastet ned mer enn 50 millioner ganger per måned, 40 – mer enn 10 millioner nedlastinger per måned og 282 med mer enn 1 million nedlastinger i måneden. Tatt i betraktning modulbelastningen langs kjeden av avhengigheter, kan kompromittering av uklarerte kontoer påvirke opptil 52 % av alle moduler i NPM totalt.
Endelig, hvis du er interessert i å vite mer om det kan du sjekke detaljene I den følgende lenken.