GitHub недавно выпустил некоторые изменения в экосистеме NPM что касается возникающих проблем безопасности, и одной из самых последних было то, что некоторым злоумышленникам удалось взять под контроль пакет coa NPM и выпустить обновления 2.0.3, 2.0.4, 2.1.1, 2.1.3 и 3.1.3. XNUMX, в который были внесены злонамеренные изменения.
В связи с этим, а также с ростом числа изъятий хранилищ крупных проектов и продвижение вредоносного кода За счет компрометации учетных записей разработчиков GitHub вводит расширенную проверку учетных записей.
Отдельно для сопровождающих и администраторов 500 самых популярных пакетов NPM обязательная двухфакторная аутентификация будет введена в начале следующего года.
С 7 декабря 2021 г. по 4 января 2022 г. все сопровождающие, которые имеют право выпускать пакеты NPM, но те, кто не использует двухфакторную аутентификацию, будут переведены на использование расширенной проверки аккаунта. Расширенная проверка включает в себя необходимость ввода уникального кода, который отправляется по электронной почте при попытке войти на сайт npmjs.com или выполнить операцию с аутентификацией в утилите npm.
Расширенная проверка не заменяет, а только дополняет необязательную двухфакторную аутентификацию ранее доступный, требующий проверки одноразовых паролей (TOTP). Расширенная проверка электронной почты не применяется когда включена двухфакторная аутентификация. С 1 февраля 2022 года начнется процесс перехода на обязательную двухфакторную аутентификацию 100 самых популярных пакетов NPM с наибольшим количеством зависимостей.
Сегодня мы представляем улучшенную проверку входа в систему в реестре npm, и мы начнем поэтапное развертывание для сопровождающих, начиная с 7 декабря и заканчивая 4 января. Сопровождающие реестр Npm, которые имеют доступ к публикации пакетов и не имеют включенной двухфакторной аутентификации (2FA), получат электронное письмо с одноразовым паролем (OTP) при аутентификации через веб-сайт npmjs.com или интерфейс командной строки Npm.
Этот отправленный по электронной почте OTP необходимо будет предоставить в дополнение к паролю пользователя перед аутентификацией. Этот дополнительный уровень аутентификации помогает предотвратить распространенные атаки с перехватом учетных записей, такие как заполнение учетных данных, в которых используется скомпрометированный и повторно используемый пароль пользователя. Стоит отметить, что улучшенная проверка входа в систему предназначена для дополнительной базовой защиты для всех издателей. Это не замена 2FA, NIST 800-63B. Мы рекомендуем разработчикам выбрать двухфакторную аутентификацию. При этом вам не нужно будет выполнять расширенную проверку входа.
После завершения миграции первой сотни изменение будет распространено на 500 самых популярных пакетов NPM. по количеству зависимостей.
В дополнение к доступным в настоящее время схемам двухфакторной аутентификации на основе приложений для генерации одноразовых паролей (Authy, Google Authenticator, FreeOTP и т. Д.), в апреле 2022 года планируют добавить возможность использования аппаратных ключей и биометрических сканеров. для которых есть поддержка протокола WebAuthn, а также возможность регистрации и управления различными дополнительными факторами аутентификации.
Напомним, согласно исследованию, проведенному в 2020 году, только 9.27% менеджеров пакетов используют двухфакторную аутентификацию для защиты доступа, а в 13.37% случаев при регистрации новых учетных записей разработчики пытались повторно использовать скомпрометированные пароли, которые фигурируют в известных паролях. .
Во время анализа надежности пароля использовал, Доступ к 12% счетов в NPM (13% пакетов) из-за использования предсказуемых и тривиальных паролей, таких как «123456». Среди проблем были 4 учетных записи пользователей 20 самых популярных пакетов, 13 учетных записей, пакеты которых загружались более 50 миллионов раз в месяц, 40 - более 10 миллионов загрузок в месяц и 282 учетных записи более 1 миллиона загрузок в месяц. Учитывая загруженность модулей в цепочке зависимостей, компрометация ненадежных учетных записей может затронуть до 52% всех модулей в NPM в целом.
В конце концов Если вам интересно узнать об этом больше, Вы можете проверить детали в исходной заметке По следующей ссылке.