GitHub nedávno vydal niektoré zmeny v ekosystéme NPM v súvislosti s bezpečnostnými problémami, ktoré sa objavili a jedným z najnovších bolo, že niektorým útočníkom sa podarilo prevziať kontrolu nad balíčkom coa NPM a vydali aktualizácie 2.0.3, 2.0.4, 2.1.1, 2.1.3 a 3.1.3. XNUMX, ktorý zahŕňal škodlivé zmeny.
V súvislosti s tým as rastúcim výskytom zabavení úložísk veľkých projektov a propagácia škodlivého kódu Prostredníctvom kompromitácie vývojárskych účtov GitHub zavádza rozšírené overovanie účtov.
Samostatne, pre správcov a administrátorov 500 najpopulárnejších balíkov NPM bude začiatkom budúceho roka zavedená povinná dvojfaktorová autentifikácia.
Od 7. decembra 2021 do 4. januára 2022 všetci správcovia, ktorí majú právo uvoľňovať balíčky NPM, ale ktorí nepoužívajú dvojfaktorové overenie, budú prevedení na používanie rozšíreného overovania účtu. Rozšírené overenie zahŕňa potrebu zadať jedinečný kód, ktorý sa odošle e-mailom pri pokuse o vstup na stránku npmjs.com alebo vykonaní overenej operácie v utilite npm.
Rozšírené overenie nenahrádza, ale iba dopĺňa voliteľnú dvojfaktorovú autentifikáciu predtým dostupné, čo vyžaduje overenie jednorazových hesiel (TOTP). Rozšírené overenie e-mailom neplatí keď je aktivovaná dvojfaktorová autentifikácia. Od 1. februára 2022 sa začne proces prechodu na povinnú dvojfaktorovú autentifikáciu 100 najobľúbenejších balíkov NPM s najväčším počtom závislostí.
Dnes predstavujeme vylepšené overovanie prihlásenia v registri npm a začneme s postupným zavádzaním pre správcov od 7. decembra a skončíme 4. januára. Správcovia registra Npm, ktorí majú prístup k zverejňovaniu balíkov a nemajú povolenú dvojfaktorovú autentifikáciu (2FA), dostanú e-mail s jednorazovým heslom (OTP), keď sa overia prostredníctvom webovej stránky npmjs.com alebo Npm CLI.
Toto e-mailové jednorazové heslo bude potrebné poskytnúť spolu s heslom používateľa pred overením. Táto dodatočná vrstva autentifikácie pomáha predchádzať bežným útokom zmocnenia sa účtu, ako je napríklad hromadenie poverení, ktoré používajú napadnuté a opätovne použité heslo používateľa. Stojí za zmienku, že rozšírené overovanie prihlásenia má byť ďalšou základnou ochranou pre všetkých vydavateľov. Nie je náhradou za 2FA, NIST 800-63B. Odporúčame správcom, aby sa rozhodli pre autentifikáciu 2FA. Týmto spôsobom nebudete musieť vykonávať rozšírenú kontrolu prihlásenia.
Po dokončení migrácie prvých sto sa zmena rozšíri na 500 najobľúbenejších balíkov NPM z hľadiska počtu závislostí.
Okrem v súčasnosti dostupných dvojfaktorových autentizačných schém na generovanie jednorazových hesiel (Authy, Google Authenticator, FreeOTP atď.) v apríli 2022 plánujú pridať možnosť používať hardvérové kľúče a biometrické skenery pre ktoré existuje podpora protokolu WebAuthn, ako aj možnosť registrácie a správy rôznych dodatočných autentifikačných faktorov.
Pripomeňme, že podľa štúdie vykonanej v roku 2020 iba 9.27 % správcov balíkov používa dvojfaktorovú autentifikáciu na ochranu prístupu a v 13.37 % prípadov sa vývojári pri registrácii nových účtov pokúsili znova použiť kompromitované heslá, ktoré sa objavujú v známych heslách. .
Počas analýzy sily hesla použité, Bolo použitých 12 % účtov v NPM (13 % balíkov) v dôsledku používania predvídateľných a triviálnych hesiel, ako napríklad „123456“. Medzi problémami boli 4 používateľské účty 20 najobľúbenejších balíčkov, 13 účtov, ktorých balíčky boli stiahnuté viac ako 50 miliónov krát za mesiac, 40 - viac ako 10 miliónov stiahnutí za mesiac a 282 s viac ako 1 miliónom stiahnutí mesačne. Vzhľadom na zaťaženie modulov v reťazci závislostí by ohrozenie nedôveryhodných účtov mohlo celkovo ovplyvniť až 52 % všetkých modulov v NPM.
Konečne Ak máte záujem dozvedieť sa viac, podrobnosti si môžete skontrolovať v pôvodnej poznámke Na nasledujúcom odkaze.