ГитХуб је недавно објавио неке промене у НПМ екосистему у вези са безбедносним проблемима који су се појавили, а један од најновијих је да су неки нападачи успели да преузму контролу над пакетом цоа НПМ и објавили исправке 2.0.3, 2.0.4, 2.1.1, 2.1.3 и 3.1.3. XNUMX, који је укључивао злонамерне промене.
У вези са овим и са све већом учесталошћу заплена у репозиторијумима великих пројеката и промовисање злонамерног кода Компромитовањем налога програмера, ГитХуб уводи проширену верификацију налога.
Одвојено, за одржаваоце и администраторе 500 најпопуларнијих НПМ пакета, обавезна двофакторска аутентификација биће уведена почетком следеће године.
Од 7. децембра 2021. до 4. јануара 2022. сви одржаваоци који имају право да издају НПМ пакете, али који не користе двофакторску аутентификацију, биће пребачени на коришћење проширене верификације налога. Проширена верификација укључује потребу за уношењем јединственог кода који се шаље путем е-поште када покушавате да уђете на нпмјс.цом локацију или извршите операцију аутентификације у нпм услужном програму.
Проширена верификација не замењује, већ само допуњује опциону двофакторску аутентификацију претходно доступно, што захтева верификацију једнократних лозинки (ТОТП). Проширена верификација е-поште се не примењује када је омогућена двофакторска аутентификација. Од 1. фебруара 2022. почиње процес преласка на обавезну двофакторску аутентификацију 100 најпопуларнијих НПМ пакета са највише зависности.
Данас уводимо побољшану верификацију пријаве у нпм регистар и започећемо постепено увођење за одржаваоце почевши од 7. децембра и закључно са 4. јануаром. Одржавачи Нпм регистра који имају приступ пакетима за објављивање и немају омогућену двофакторску аутентификацију (2ФА) примиће е-пошту са једнократном лозинком (ОТП) када се аутентификују преко веб локације нпмјс.цом или Нпм ЦЛИ.
Овај ОТП послат е-поштом ће морати да се наведе поред лозинке корисника пре аутентификације. Овај додатни слој аутентификације помаже у спречавању уобичајених напада отмице налога, као што је пуњење акредитива, који користе компромитовану и поново употребљену лозинку корисника. Вреди напоменути да побољшана верификација пријаве треба да буде додатна основна заштита за све издаваче. Није замена за 2ФА, НИСТ 800-63Б. Подстичемо одржаваоце да се одлуче за 2ФА аутентификацију. Ако то урадите, нећете морати да вршите побољшану верификацију пријаве.
Након завршетка миграције првих сто, промена ће бити пропагирана на 500 најпопуларнијих НПМ пакета у погледу броја зависности.
Поред тренутно доступних шема двофакторске аутентификације засноване на апликацији за генерисање једнократних лозинки (Аутхи, Гоогле Аутхентицатор, ФрееОТП, итд.), у априлу 2022. планирају да додају могућност коришћења хардверских кључева и биометријских скенера за које постоји подршка за ВебАутхн протокол, као и могућност регистрације и управљања разним додатним факторима аутентификације.
Подсетимо се да према студији спроведеној 2020. године, само 9.27% менаџера пакета користи двофакторску аутентификацију за заштиту приступа, а у 13.37% случајева, приликом регистрације нових налога, програмери су покушали да поново користе компромитоване лозинке које се појављују у познатим лозинкама. .
Током анализе јачине лозинке користи, Приступљено је 12% налога у НПМ-у (13% пакета) због употребе предвидљивих и тривијалних лозинки као што је „123456“. Међу проблемима су била 4 корисничка налога од 20 најпопуларнијих пакета, 13 налога чији су пакети преузимани више од 50 милиона пута месечно, 40 - више од 10 милиона преузимања месечно и 282 са више од милион преузимања месечно. Узимајући у обзир оптерећење модула дуж ланца зависности, компромитовање непоузданих налога може утицати на до 1% свих модула у НПМ-у укупно.
Коначно Ако сте заинтересовани да сазнате више о томе, можете проверити детаље у оригиналној белешци У следећем линку.