Пре неки дан ГитХуб је открио два инцидента у инфраструктури спремишта НПМ пакета, од којих се наводи да су 2. новембра истраживачи треће стране у оквиру програма Буг Боунти пронашли рањивост у НПМ спремишту који омогућава објављивање нове верзије било ког пакета који користи иако није овлашћен за обављање таквих ажурирања.
Рањивост је узрокована нетачним проверама ауторизације у коду микросервиса који обрађују захтеве НПМ-у. Сервис ауторизације је извршио проверу дозволе за пакете на основу података прослеђених у захтеву, али друга услуга која је отпремала ажурирање у спремиште је одредила да се пакет објави на основу садржаја метаподатака у отпремљеном пакету.
Тако би нападач могао да затражи објављивање ажурирања за свој пакет коме има приступ, али да у самом пакету наведе информацију о другом пакету, који би евентуално био ажуриран.
Последњих неколико месеци, нпм тим је улагао у инфраструктурна и безбедносна побољшања како би аутоматизовао праћење и анализу недавно објављених верзија пакета како би идентификовао малвер и други злонамерни код у реалном времену.
Постоје две главне категорије догађаја објављивања малвера који се дешавају у нпм екосистему: малвер који се поставља услед отмице налога и малвер који нападачи објављују преко сопствених налога. Иако су аквизиције налога са великим утицајем релативно ретке, у поређењу са директним малвером који објављују нападачи користећи сопствене налоге, аквизиције налога могу бити далекосежне када се циљају популарни одржаваоци пакета. Иако је наше време откривања и одговора на куповину популарних пакета било само 10 минута у недавним инцидентима, настављамо да развијамо наше могућности откривања злонамерног софтвера и стратегије обавештавања ка проактивнијем моделу одговора.
Проблем поправљена је 6 сати након пријаве рањивости, али је рањивост била присутна у НПМ-у дуже него што покривају телеметријски дневники. ГитХуб наводи да није било трагова напада који користе ову рањивост од септембра 2020, али нема гаранције да проблем није раније искоришћен.
Други инцидент догодио се 26. октобра. У току техничког рада са базом сервиса реплицант.нпмјс.цом, откривено је да у бази података постоје поверљиви подаци доступни за екстерне консултације, откривајући информације о називима интерних пакета који су поменути у дневнику промена.
Информације о тим именима може се користити за извођење напада зависности на интерне пројекте (У фебруару је такав напад омогућио покретање кода на серверима ПаиПал, Мицрософт, Аппле, Нетфлик, Убер и 30 других компанија.)
Поред тога, у односу на све већу учесталост заплене репозиторијума великих пројеката и промовисање злонамерног кода путем компромитовања налога програмера, ГитХуб је одлучио да уведе обавезну двофакторску аутентификацију. Промена ће ступити на снагу у првом кварталу 2022. године и односиће се на одржаваоце и администраторе пакета који се налазе на листи најпопуларнијих. Додатно, дате су информације о модернизацији инфраструктуре, у којој ће бити уведено аутоматизовано праћење и анализа нових верзија пакета за рано откривање злонамерних промена.
Подсетимо се да према студији спроведеној 2020. године, само 9.27% менаџера пакета користи двофакторску аутентификацију за заштиту приступа, а у 13.37% случајева, приликом регистрације нових налога, програмери су покушали да поново користе компромитоване лозинке које се појављују у познатим лозинкама. .
Током провере јачине коришћених лозинки, приступило се 12% налога у НПМ-у (13% пакета) због употребе предвидљивих и тривијалних лозинки попут „123456“. Међу проблемима су била 4 корисничка налога од 20 најпопуларнијих пакета, 13 налога чији су пакети преузимани више од 50 милиона пута месечно, 40 - више од 10 милиона преузимања месечно и 282 са више од милион преузимања месечно. Узимајући у обзир оптерећење модула дуж ланца зависности, компромитовање непоузданих налога може утицати на до 1% свих модула у НПМ-у укупно.
Коначно, ако сте заинтересовани да сазнате више о томе можете проверити детаље У следећем линку.