Acum câteva zile GitHub a dezvăluit două incidente în infrastructura depozitului de pachete NPM, din care detaliază că pe 2 noiembrie, cercetători de securitate terți, ca parte a programului Bug Bounty, au găsit o vulnerabilitate în depozitul NPM care permite publicarea unei noi versiuni a oricărui pachet folosind chiar dacă nu este autorizat pentru a efectua astfel de actualizări.
Vulnerabilitatea a fost cauzată de verificări incorecte de autorizare în codul microserviciilor acel proces solicită către NPM. Serviciul de autorizare a efectuat o verificare a permisiunii asupra pachetelor pe baza datelor transmise în cerere, dar un alt serviciu care încărca actualizarea în depozit a determinat pachetul să fie publicat pe baza conținutului de metadate din pachetul încărcat.
Astfel, un atacator ar putea solicita publicarea unei actualizări pentru pachetul său, la care are acces, dar să indice în pachetul propriu-zis informații despre un alt pachet, care ar fi eventual actualizat.
În ultimele luni, echipa npm a investit în îmbunătățiri de infrastructură și securitate pentru a automatiza monitorizarea și analiza versiunilor de pachete lansate recent pentru a identifica programele malware și alte coduri rău intenționate în timp real.
Există două categorii principale de evenimente de postare de malware care au loc în ecosistemul npm: malware care este postat din cauza deturnării conturilor și malware pe care atacatorii le postează prin propriile conturi. Deși achizițiile de conturi cu impact mare sunt relativ rare, în comparație cu programele malware directe postate de atacatori folosind propriile conturi, achizițiile de conturi pot fi de mare anvergură atunci când vizează menținătorii de pachete populari. În timp ce timpul nostru de detectare și răspuns la achizițiile de pachete populare a fost de până la 10 minute în incidentele recente, continuăm să ne dezvoltăm capacitățile de detectare a malware și strategiile de notificare către un model de răspuns mai proactiv.
Problema a fost remediat la 6 ore după ce vulnerabilitatea a fost raportată, dar vulnerabilitatea a fost prezentă în NPM mai mult decât ceea ce acoperă jurnalele de telemetrie. GitHub afirmă că nu au existat urme de atacuri care au folosit această vulnerabilitate din septembrie 2020, dar nu există nicio garanție că problema nu a fost exploatată înainte.
Al doilea incident a avut loc pe 26 octombrie. În timpul lucrului tehnic cu baza de date a serviciului replicant.npmjs.com, s-a dezvăluit că în baza de date există date confidențiale disponibile pentru consultare externă, dezvăluind informații despre numele pachetelor interne care au fost menționate în jurnalul de modificări.
Informații despre aceste nume poate fi folosit pentru a efectua atacuri de dependență asupra proiectelor interne (În februarie, un astfel de atac a permis să ruleze codul pe serverele PayPal, Microsoft, Apple, Netflix, Uber și alte 30 de companii.)
În plus, în raport cu incidenţa tot mai mare a sechestrului depozitelor de proiecte mari și promovarea codului rău intenționat prin compromiterea conturilor de dezvoltator, GitHub a decis să introducă autentificarea obligatorie cu doi factori. Modificarea va intra în vigoare în primul trimestru al anului 2022 și se va aplica întreținătorilor și administratorilor pachetelor incluse în lista celor mai populare. În plus, sunt furnizate informații cu privire la modernizarea infrastructurii, în care va fi introdusă monitorizarea și analiza automată a noilor versiuni de pachete pentru detectarea timpurie a modificărilor rău intenționate.
Reamintim că, potrivit unui studiu realizat în 2020, doar 9.27% dintre managerii de pachete folosesc autentificarea cu doi factori pentru a proteja accesul, iar în 13.37% din cazuri, la înregistrarea unor conturi noi, dezvoltatorii au încercat să refolosească parolele compromise care apar în parolele cunoscute. .
În timpul verificării rezistenței parolelor utilizate, 12% dintre conturile din NPM (13% din pachete) au fost accesate datorită utilizării unor parole previzibile și banale precum „123456”. Printre probleme s-au numărat 4 conturi de utilizator din cele mai populare 20 de pachete, 13 conturi ale căror pachete au fost descărcate de peste 50 de milioane de ori pe lună, 40 - peste 10 milioane de descărcări pe lună și 282 cu mai mult de 1 milion de descărcări pe lună. Având în vedere încărcarea modulelor de-a lungul lanțului de dependențe, compromiterea conturilor nede încredere ar putea afecta până la 52% din toate modulele din NPM în total.
În cele din urmă, dacă sunteți interesat să aflați mai multe despre asta puteți verifica detaliile În următorul link.