Pred niekoľkými dňami GitHub odhalil dva incidenty v infraštruktúre úložiska balíkov NPM, z ktorých podrobne uvádza, že 2. novembra výskumníci v oblasti bezpečnosti tretích strán v rámci programu Bug Bounty našli zraniteľnosť v úložisku NPM ktorý umožňuje publikovať novú verziu akéhokoľvek balíka pomocou, aj keď nie je autorizovaný vykonávať takéto aktualizácie.
Zraniteľnosť bola spôsobená nesprávnymi kontrolami autorizácie v kóde mikroslužieb ktoré spracúvajú požiadavky na NPM. Autorizačná služba vykonala kontrolu povolení na balíkoch na základe údajov odovzdaných v požiadavke, ale iná služba, ktorá nahrávala aktualizáciu do úložiska, určila, že balík sa má zverejniť na základe obsahu metadát v odovzdanom balíku.
Útočník by tak mohol požiadať o zverejnenie aktualizácie pre svoj balík, ku ktorému má prístup, ale v samotnom balíku uviesť informáciu o inom balíku, ktorý by sa prípadne aktualizoval.
Posledných pár mesiacov tím npm investoval do vylepšení infraštruktúry a zabezpečenia, aby zautomatizoval monitorovanie a analýzu nedávno vydaných verzií balíkov s cieľom identifikovať malvér a iný škodlivý kód v reálnom čase.
Existujú dve hlavné kategórie udalostí odosielania škodlivého softvéru, ktoré sa vyskytujú v ekosystéme npm: malvér, ktorý je zverejnený v dôsledku únosu účtu, a malvér, ktorý útočníci uverejňujú prostredníctvom svojich vlastných účtov. Hoci akvizície účtov s vysokým dopadom sú relatívne zriedkavé, v porovnaní s priamym škodlivým softvérom zverejneným útočníkmi pomocou ich vlastných účtov, akvizície účtov môžu byť ďalekosiahle pri zacielení na populárnych správcov balíkov. Zatiaľ čo náš čas detekcie a odozvy na akvizície populárnych balíkov bol v prípade nedávnych incidentov len 10 minút, pokračujeme vo vývoji našich schopností detekcie škodlivého softvéru a stratégií oznamovania smerom k proaktívnejšiemu modelu odozvy.
Problém bola opravená 6 hodín po nahlásení zraniteľnosti, ale zraniteľnosť bola v NPM prítomná dlhšie ako pokrývajú telemetrické záznamy. GitHub uvádza, že neboli zaznamenané žiadne stopy útokov využívajúcich túto zraniteľnosť od septembra 2020, ale neexistuje žiadna záruka, že problém nebol zneužitý už skôr.
Druhý incident sa odohral 26. októbra. V priebehu technickej práce s databázou služieb replicant.npmjs.com, zistilo sa, že v databáze, ktorá je k dispozícii na externú konzultáciu, sú dôverné údaje, odhaľujúce informácie o názvoch interných balíkov, ktoré boli uvedené v protokole zmien.
Informácie o týchto menách môžu byť použité na vykonávanie útokov závislosti na interných projektoch (Vo februári takýto útok umožnil spustenie kódu na serveroch spoločností PayPal, Microsoft, Apple, Netflix, Uber a 30 ďalších spoločností.)
Okrem toho, v súvislosti so zvyšujúcim sa výskytom zabavovania úložísk veľkých projektov a propagácia škodlivého kódu prostredníctvom kompromitácie účtov vývojárov, GitHub sa rozhodol zaviesť povinnú dvojfaktorovú autentifikáciu. Zmena nadobudne účinnosť v prvom štvrťroku 2022 a bude sa týkať správcov a správcov balíkov zaradených do zoznamu najpopulárnejších. Okrem toho informuje o modernizácii infraštruktúry, ktorá zavedie automatizované monitorovanie a analýzu nových verzií balíkov na včasné odhalenie škodlivých zmien.
Pripomeňme, že podľa štúdie vykonanej v roku 2020 iba 9.27 % správcov balíkov používa dvojfaktorovú autentifikáciu na ochranu prístupu a v 13.37 % prípadov sa vývojári pri registrácii nových účtov pokúsili znova použiť kompromitované heslá, ktoré sa objavujú v známych heslách. .
Počas kontroly sily použitých hesiel bolo sprístupnených 12 % účtov v NPM (13 % balíčkov) z dôvodu použitia predvídateľných a triviálnych hesiel, ako napríklad „123456“. Medzi problémami boli 4 používateľské účty 20 najobľúbenejších balíčkov, 13 účtov, ktorých balíčky boli stiahnuté viac ako 50 miliónov krát za mesiac, 40 - viac ako 10 miliónov stiahnutí za mesiac a 282 s viac ako 1 miliónom stiahnutí mesačne. Vzhľadom na zaťaženie modulov v reťazci závislostí by ohrozenie nedôveryhodných účtov mohlo celkovo ovplyvniť až 52 % všetkých modulov v NPM.
konečne, ak máte záujem dozvedieť sa o tom viac môžete skontrolovať podrobnosti Na nasledujúcom odkaze.