Disa ditë më parë GitHub zbuloi dy incidente në infrastrukturën e depove të paketave NPM, nga të cilat detajon se më 2 nëntor, studiues të palëve të treta të sigurisë si pjesë e programit Bug Bounty gjetën një cenueshmëri në depon e NPM i cili lejon publikimin e një versioni të ri të çdo pakete duke përdorur edhe pse nuk është i autorizuar për të kryer përditësime të tilla.
Dobësia u shkaktua nga kontrolle të pasakta të autorizimit në kodin e mikroshërbimeve që përpunojnë kërkesat drejtuar MKPT-së. Shërbimi i autorizimit kreu një kontroll leje për paketat bazuar në të dhënat e kaluara në kërkesë, por një shërbim tjetër që po ngarkonte përditësimin në depo përcaktoi që paketa të publikohej bazuar në përmbajtjen e meta të dhënave në paketën e ngarkuar.
Kështu, një sulmues mund të kërkojë publikimin e një përditësimi për paketën e tij, në të cilën ai ka akses, por të tregojë në vetë paketën informacion për një paketë tjetër, e cila përfundimisht do të përditësohej.
Gjatë muajve të fundit, ekipi npm ka investuar në infrastrukturë dhe përmirësime të sigurisë për të automatizuar monitorimin dhe analizën e versioneve të paketave të lëshuara së fundi për të identifikuar malware dhe kode të tjera me qëllim të keq në kohë reale.
Ekzistojnë dy kategori kryesore të ngjarjeve të postimit të malware që ndodhin në ekosistemin npm: malware që postohet për shkak të rrëmbimit të llogarisë dhe malware që sulmuesit postojnë përmes llogarive të tyre. Megjithëse blerjet e llogarive me ndikim të lartë janë relativisht të rralla, krahasuar me malware të drejtpërdrejtë të postuar nga sulmuesit që përdorin llogaritë e tyre, blerjet e llogarive mund të jenë shumë të gjera kur synojnë mirëmbajtësit e njohur të paketave. Ndërsa koha jonë e zbulimit dhe reagimit ndaj blerjeve të paketave të njohura ka qenë deri në 10 minuta në incidentet e fundit, ne vazhdojmë të zhvillojmë aftësitë tona të zbulimit të malware dhe strategjitë e njoftimit drejt një modeli më proaktiv përgjigjeje.
Problemi ai u rregullua 6 orë pasi u raportua cenueshmëria, por cenueshmëria ishte e pranishme në NPM më gjatë se çfarë mbulojnë regjistrat e telemetrisë. GitHub deklaron se nuk ka pasur gjurmë sulmesh duke përdorur këtë cenueshmëri që nga shtatori 2020, por nuk ka asnjë garanci që problemi nuk është shfrytëzuar më parë.
Ngjarja e dytë ka ndodhur më 26 tetor. Gjatë punës teknike me bazën e të dhënave të shërbimit replicant.npmjs.com, u zbulua se kishte të dhëna konfidenciale në bazën e të dhënave të disponueshme për konsultim të jashtëm, duke zbuluar informacione për emrat e paketave të brendshme që u përmendën në ndryshimet.
Informacion për ata emra mund të përdoret për të kryer sulme varësie ndaj projekteve të brendshme (Në shkurt, një sulm i tillë lejoi që kodi të ekzekutohej në serverët e PayPal, Microsoft, Apple, Netflix, Uber dhe 30 kompanive të tjera.)
Përveç kësaj, në lidhje me incidencën në rritje të kapjes së depove të projekteve të mëdha dhe promovimi i kodit me qëllim të keq përmes kompromentimit të llogarive të zhvilluesve, GitHub vendosi të prezantojë vërtetimin e detyrueshëm me dy faktorë. Ndryshimi do të hyjë në fuqi në tremujorin e parë të 2022 dhe do të zbatohet për mirëmbajtësit dhe administratorët e paketave të përfshira në listën e më të njohurve. Gjithashtu, jepet informacion për modernizimin e infrastrukturës, në të cilën do të futet monitorimi dhe analiza e automatizuar e versioneve të reja të paketave për zbulimin e hershëm të ndryshimeve me qëllim të keq.
Kujtojmë se sipas një studimi të kryer në vitin 2020, vetëm 9.27% e menaxherëve të paketave përdorin vërtetimin me dy faktorë për të mbrojtur aksesin dhe në 13.37% të rasteve, gjatë regjistrimit të llogarive të reja, zhvilluesit u përpoqën të ripërdornin fjalëkalime të komprometuara që shfaqen në fjalëkalime të njohura .
Gjatë kontrollit të fuqisë së fjalëkalimeve të përdorura, 12% e llogarive në NPM (13% e paketave) u aksesuan për shkak të përdorimit të fjalëkalimeve të parashikueshme dhe të parëndësishme si "123456". Ndër problemet ishin 4 llogari përdoruesish të 20 paketave më të njohura, 13 llogari paketat e të cilave shkarkoheshin më shumë se 50 milion herë në muaj, 40 - më shumë se 10 milion shkarkime në muaj dhe 282 me më shumë se 1 milion shkarkime në muaj. Duke marrë parasysh ngarkesën e modulit përgjatë zinxhirit të varësive, komprometimi i llogarive të pabesuara mund të ndikojë deri në 52% të të gjitha moduleve në NPM në total.
Së fundi, nëse jeni të interesuar të dini më shumë për të ju mund të kontrolloni detajet Në lidhjen vijuese.