GitHub niedawno opublikował kilka zmian w ekosystemie NPM w związku z pojawiającymi się problemami bezpieczeństwa, a jednym z ostatnich było to, że niektórym atakującym udało się przejąć kontrolę nad pakietem coa NPM i wydali aktualizacje 2.0.3, 2.0.4, 2.1.1, 2.1.3 i 3.1.3. XNUMX, który zawierał złośliwe zmiany.
W związku z tym i rosnącą częstością konfiskat repozytoriów dużych projektów i promowanie złośliwego kodu Poprzez kompromitację kont programistów, GitHub wprowadza rozszerzoną weryfikację kont.
Osobno, dla opiekunów i administratorów 500 najpopularniejszych pakietów NPM, obowiązkowe uwierzytelnianie dwuskładnikowe zostanie wprowadzone na początku przyszłego roku.
Od 7 grudnia 2021 r. do 4 stycznia 2022 r. wszyscy opiekunowie, którzy mają prawo do wydawania pakietów NPM, ale którzy nie korzystają z uwierzytelniania dwuskładnikowego, zostaną przeniesieni do korzystania z rozszerzonej weryfikacji konta. Rozszerzona weryfikacja wiąże się z koniecznością wprowadzenia unikalnego kodu, który jest wysyłany e-mailem podczas próby wejścia na stronę npmjs.com lub wykonania uwierzytelnionej operacji w narzędziu npm.
Rozszerzona weryfikacja nie zastępuje, a jedynie uzupełnia opcjonalne uwierzytelnianie dwuskładnikowe wcześniej dostępne, co wymaga weryfikacji haseł jednorazowych (TOTP). Rozszerzona weryfikacja adresu e-mail nie ma zastosowania gdy włączone jest uwierzytelnianie dwuskładnikowe. Od 1 lutego 2022 r. rozpocznie się proces przechodzenia na obowiązkowe uwierzytelnianie dwuskładnikowe 100 najpopularniejszych pakietów NPM z największą liczbą zależności.
Dzisiaj wprowadzamy ulepszoną weryfikację logowania w rejestrze npm i rozpoczniemy stopniowe wdrażanie dla opiekunów, które rozpocznie się 7 grudnia i zakończy się 4 stycznia. Opiekunowie rejestru Npm, którzy mają dostęp do publikowania pakietów i nie mają włączonego uwierzytelniania dwuskładnikowego (2FA), otrzymają wiadomość e-mail z jednorazowym hasłem (OTP) podczas uwierzytelniania za pośrednictwem witryny npmjs.com lub interfejsu wiersza polecenia Npm.
Ten e-mail OTP będzie musiał być podany oprócz hasła użytkownika przed uwierzytelnieniem. Ta dodatkowa warstwa uwierzytelniania pomaga zapobiegać typowym atakom polegającym na przejmowaniu konta, takim jak upychanie poświadczeń, które wykorzystują złamane i ponownie użyte hasło użytkownika. Warto zauważyć, że ulepszona weryfikacja logowania ma być dodatkową podstawową ochroną dla wszystkich wydawców. Nie zastępuje 2FA, NIST 800-63B. Zachęcamy opiekunów do wyboru uwierzytelniania 2FA. Dzięki temu nie będziesz musiał przeprowadzać rozszerzonej weryfikacji logowania.
Po zakończeniu migracji pierwszej setki zmiana zostanie rozpropagowana na 500 najpopularniejszych pakietów NPM pod względem liczby zależności.
Oprócz obecnie dostępnych schematów uwierzytelniania dwuskładnikowego opartego na aplikacjach do generowania haseł jednorazowych (Authy, Google Authenticator, FreeOTP itp.), w kwietniu 2022 planują dodać możliwość korzystania z kluczy sprzętowych i skanerów biometrycznych dla których istnieje obsługa protokołu WebAuthn, a także możliwość rejestracji i zarządzania różnymi dodatkowymi czynnikami uwierzytelniającymi.
Przypomnijmy, że według badania przeprowadzonego w 2020 r. tylko 9.27% menedżerów pakietów korzysta z uwierzytelniania dwuskładnikowego w celu ochrony dostępu, a w 13.37% przypadków podczas rejestracji nowych kont programiści próbowali ponownie wykorzystać złamane hasła, które pojawiają się w znanych hasłach .
Podczas analizy siły hasła używany, Uzyskano dostęp do 12% kont w NPM (13% pakietów) ze względu na użycie przewidywalnych i trywialnych haseł, takich jak „123456”. Wśród problemów znalazły się 4 konta użytkowników z 20 najpopularniejszych pakietów, 13 kont, których pakiety były pobierane ponad 50 milionów razy w miesiącu, 40 - ponad 10 milionów pobrań miesięcznie i 282 z ponad 1 milionem pobrań miesięcznie. Biorąc pod uwagę obciążenie modułów w łańcuchu zależności, naruszenie niezaufanych kont może wpłynąć na łącznie do 52% wszystkich modułów w NPM.
W końcu Jeśli chcesz dowiedzieć się więcej na ten temat, możesz sprawdzić szczegóły w oryginalnej notatce W poniższym linku.