GitHub je pred kratkim izdal nekaj sprememb v ekosistemu NPM v zvezi z varnostnimi težavami, ki so se pojavljale, in ena zadnjih je bila, da je nekaterim napadalcem uspelo prevzeti nadzor nad paketom coa NPM in so izdali posodobitve 2.0.3, 2.0.4, 2.1.1, 2.1.3 in 3.1.3. XNUMX, ki je vključeval zlonamerne spremembe.
V zvezi s tem in z naraščajočo pojavnostjo zasegov v odlagališčih velikih projektov in spodbujanje zlonamerne kode GitHub z ogrožanjem računov razvijalcev uvaja razširjeno preverjanje računa.
Ločeno pa bo za vzdrževalce in skrbnike 500 najbolj priljubljenih paketov NPM v začetku prihodnjega leta uvedeno obvezno dvofaktorsko preverjanje pristnosti.
Od 7. decembra 2021 do 4. januarja 2022, vsi vzdrževalci, ki imajo pravico izdajati NPM pakete, vendar ki ne uporabljajo dvofaktorske avtentikacije, bodo prevedeni na uporabo razširjenega preverjanja računa. Razširjeno preverjanje vključuje potrebo po vnosu edinstvene kode, ki se pošlje po e-pošti, ko poskušate vstopiti na spletno mesto npmjs.com ali izvesti overjeno operacijo v pripomočku npm.
Razširjeno preverjanje ne nadomešča, temveč le dopolnjuje izbirno dvofaktorsko preverjanje pristnosti prej na voljo, kar zahteva preverjanje enkratnih gesel (TOTP). Razširjeno preverjanje e-pošte ne velja ko je omogočena dvofaktorska avtentikacija. S 1. februarjem 2022 se bo začel postopek prehoda na obvezno dvofaktorsko preverjanje pristnosti 100 najbolj priljubljenih paketov NPM z največ odvisnostmi.
Danes uvajamo izboljšano preverjanje prijave v registru npm in začeli bomo postopno uvajanje za vzdrževalce, ki se začne 7. decembra in se zaključi 4. januarja. Vzdrževalci registra Npm, ki imajo dostop do paketov za objavo in nimajo omogočene dvofaktorske avtentikacije (2FA), bodo ob preverjanju pristnosti prek spletnega mesta npmjs.com ali CLI Npm prejeli e-pošto z enkratnim geslom (OTP).
Ta OTP, poslana po e-pošti, bo treba navesti poleg uporabniškega gesla pred preverjanjem pristnosti. Ta dodatna plast preverjanja pristnosti pomaga preprečiti pogoste napade ugrabitve računa, kot je polnjenje poverilnic, ki uporabljajo ogroženo in ponovno uporabljeno geslo uporabnika. Omeniti velja, da je izboljšano preverjanje prijave mišljeno kot dodatna osnovna zaščita za vse izdajatelje. Ni zamenjava za 2FA, NIST 800-63B. Vzdrževalce spodbujamo, da se odločijo za preverjanje pristnosti 2FA. S tem vam ne bo treba izvajati izboljšanega preverjanja prijave.
Po končani selitvi prvih sto, se bo sprememba razširila na 500 najbolj priljubljenih paketov NPM glede na število odvisnosti.
Poleg trenutno razpoložljivih dvofaktorskih shem preverjanja pristnosti, ki temeljijo na aplikaciji za generiranje enkratnih gesel (Authy, Google Authenticator, FreeOTP itd.), aprila 2022 nameravajo dodati možnost uporabe strojnih ključev in biometričnih skenerjev za katerega je na voljo podpora za protokol WebAuthn, kot tudi možnost registracije in upravljanja različnih dodatnih faktorjev avtentikacije.
Spomnimo se, da glede na študijo, izvedeno leta 2020, samo 9.27% upraviteljev paketov uporablja dvofaktorsko preverjanje pristnosti za zaščito dostopa, v 13.37% primerov pa so razvijalci pri registraciji novih računov poskušali ponovno uporabiti ogrožena gesla, ki se pojavljajo v znanih geslih. .
Med analizo moči gesla uporabljeno, Dostopanih je bilo do 12 % računov v NPM (13 % paketov) zaradi uporabe predvidljivih in trivialnih gesel, kot je "123456". Med težavami so bili 4 uporabniški računi izmed 20 najbolj priljubljenih paketov, 13 računov, katerih paketi so bili naloženi več kot 50 milijonov krat na mesec, 40 - več kot 10 milijonov prenosov na mesec in 282 z več kot milijon prenosov na mesec. Glede na obremenitev modulov vzdolž verige odvisnosti bi lahko ogrožanje nezaupanja vrednih računov vplivalo na do 1 % vseh modulov v NPM skupaj.
Končno Če vas zanima več o tem, podrobnosti lahko preverite v izvirnem zapisku V naslednji povezavi.