O GitHub lançou recentemente algumas mudanças no ecossistema NPM em relação aos problemas de segurança que têm surgido e um dos mais recentes é que alguns atacantes conseguiram assumir o controlo do pacote coa NPM e lançaram as atualizações 2.0.3, 2.0.4, 2.1.1, 2.1.3 e 3.1.3. XNUMX, que incluiu alterações maliciosas.
Em relação a isso e com o aumento da incidência de apreensão de repositórios de grandes projetos e promoção de código malicioso Por meio do comprometimento de contas de desenvolvedor, o GitHub está introduzindo a verificação de conta estendida.
Separadamente, para mantenedores e administradores dos 500 pacotes NPM mais populares, a autenticação de dois fatores obrigatória será introduzida no início do próximo ano.
De 7 de dezembro de 2021 a 4 de janeiro de 2022, todos os mantenedores que têm o direito de lançar pacotes NPM, mas que não usam autenticação de dois fatores, serão transferidos para usar a verificação estendida de conta. A verificação estendida envolve a necessidade de inserir um código exclusivo que é enviado por e-mail ao tentar entrar no site npmjs.com ou realizar uma operação autenticada no utilitário npm.
A verificação estendida não substitui, mas apenas complementa a autenticação opcional de dois fatores disponível anteriormente, o que requer a verificação de senhas de uso único (TOTP). A verificação estendida de e-mail não se aplica quando a autenticação de dois fatores está habilitada. A partir de 1º de fevereiro de 2022, começará o processo de mudança para a autenticação obrigatória de dois fatores dos 100 pacotes NPM mais populares com mais dependências.
Hoje estamos introduzindo a verificação de login aprimorada no registro npm e começaremos uma distribuição escalonada para os mantenedores começando em 7 de dezembro e terminando em 4 de janeiro. Os mantenedores do registro Npm que têm acesso para publicar pacotes e não têm a autenticação de dois fatores (2FA) habilitada receberão um e-mail com uma senha de uso único (OTP) ao se autenticarem no site npmjs.com ou no Npm CLI.
Este OTP enviado por e-mail deverá ser fornecido junto com a senha do usuário antes da autenticação. Essa camada adicional de autenticação ajuda a evitar ataques comuns de sequestro de contas, como o preenchimento de credenciais, que usam a senha comprometida e reutilizada de um usuário. É importante notar que a Verificação de login aprimorada se destina a ser uma proteção básica adicional para todos os editores. Não é um substituto para 2FA, NIST 800-63B. Encorajamos os mantenedores a optar pela autenticação 2FA. Ao fazer isso, você não precisará executar uma verificação avançada de login.
Depois de concluir a migração dos primeiros cem, a mudança será propagada para os 500 pacotes NPM mais populares em termos de número de dependências.
Além dos esquemas de autenticação de dois fatores baseados em aplicativos atualmente disponíveis para a geração de senhas de uso único (Authy, Google Authenticator, FreeOTP, etc.), em abril de 2022, eles planejam adicionar a capacidade de usar chaves de hardware e scanners biométricos para o qual há suporte para o protocolo WebAuthn, bem como a capacidade de registrar e gerenciar vários fatores de autenticação adicionais.
Lembre-se que de acordo com um estudo realizado em 2020, apenas 9.27% dos gerenciadores de pacotes usam autenticação de dois fatores para proteger o acesso, e em 13.37% dos casos, ao registrar novas contas, os desenvolvedores tentaram reutilizar senhas comprometidas que aparecem em senhas conhecidas .
Durante a análise de força da senha usava, 12% das contas no NPM foram acessadas (13% dos pacotes) devido ao uso de senhas previsíveis e triviais como "123456". Entre las problemáticas se encontraban 4 cuentas de usuario de los 20 paquetes más populares, 13 cuentas cuyos paquetes se descargaron más de 50 millones de veces al mes, 40 – más de 10 millones de descargas al mes y 282 con más de 1 millón de descargas ao mês. Considerando a carga de módulos ao longo da cadeia de dependências, o comprometimento de contas não confiáveis pode afetar até 52% de todos os módulos no NPM no total.
Finalmente Se você estiver interessado em saber mais sobre isso, você pode verificar os detalhes na nota original no link a seguir.