GitHub presenterade nyligen några förändringar i NPM-ekosystemet. i relation till de säkerhetsproblem som har uppstått och ett av de senaste var att några angripare lyckades få kontroll över paketet med NPM och släppte uppdateringarna 2.0.3, 2.0.4, 2.1.1, 2.1.3 och 3.1.3 .XNUMX, som inkluderade skadliga ändringar.
I förhållande till detta och med den växande förekomsten av beslag av förvar av stora projekt och marknadsföring av skadlig kod Genom att kompromissa med utvecklarkonton introducerar GitHub utökad kontoverifiering.
Separat, för underhållare och administratörer av de 500 mest populära NPM-paketen, kommer obligatorisk tvåfaktorsautentisering att införas i början av nästa år.
Från 7 december 2021 till 4 januari 2022, alla underhållare som har rätt att publicera npm-paket, men som inte använder tvåfaktorsautentisering kommer att överföras till utökad kontoverifiering. Utökad verifiering innebär att du måste ange en unik kod som skickas via e-post när du försöker komma in på npmjs.com-webbplatsen eller utför en autentiserad operation i npm-verktyget.
Utökad verifiering ersätter inte, utan kompletterar endast, valfri tvåfaktorsautentisering tidigare tillgänglig, vilket kräver engångslösenordsverifiering (TOTP). Utökad e-postverifiering gäller inte när tvåfaktorsautentisering är aktiverad. Från och med den 1 februari 2022 börjar processen att gå över till obligatorisk tvåfaktorsautentisering av de 100 mest populära NPM-paketen med flest beroenden.
Idag introducerar vi förbättrad inloggningsverifiering i npm-registret, och vi kommer att påbörja en gradvis lansering till underhållare från och med den 7 december och avslutas den 4 januari. Npm-register som har tillgång till att publicera paket och inte har tvåfaktorsautentisering (2FA) aktiverad kommer att få ett e-postmeddelande med ett engångslösenord (OTP) när de autentiseras via npmjs.com-webbplatsen eller npm CLI.
Denna e-postad OTP måste tillhandahållas utöver användarens lösenord innan autentisering. Detta extra lager av autentisering hjälper till att förhindra vanliga kontoövertagandeattacker, som t.ex. inloggningsuppgifter, som använder en användares komprometterade och återanvända lösenord. Det är värt att notera att den förbättrade inloggningsverifieringen är avsedd att vara ytterligare grundläggande skydd för alla utgivare. Det är inte en ersättning för 2FA,NIST 800-63B. Vi uppmuntrar underhållare att välja 2FA-autentisering. Genom att göra det behöver du inte utföra utökad inloggningsverifiering.
Efter att ha slutfört migreringen av de första 500 kommer ändringen att spridas till de XNUMX mest populära NPM-paketen när det gäller antalet beroenden.
Förutom för närvarande tillgängliga tvåfaktorsautentiseringsscheman baserade på appar för att generera engångslösenord (Authy, Google Authenticator, FreeOTP, etc.), i april 2022 planerar de att lägga till möjligheten att använda hårdvarunycklar och biometriska skannrar för vilket det finns stöd för WebAuthn-protokollet, och även möjligheten att registrera och hantera olika ytterligare autentiseringsfaktorer.
Kom ihåg att enligt en studie genomförd 2020 använder endast 9.27 % av pakethanterarna tvåfaktorsautentisering för att skydda åtkomst, och i 13.37 % av fallen, när de registrerade nya konton, försökte utvecklare att återanvända komprometterade lösenord som visas i kända lösenord .
Under testning av lösenordsstyrka Begagnade, 12 % av kontona på NPM fick åtkomst (13 % av paketen) på grund av användningen av förutsägbara och triviala lösenord som "123456". Bland problematiken fanns 4 användarkonton från de 20 mest populära paketen, 13 konton vars paket laddades ner mer än 50 miljoner gånger per månad, 40 – mer än 10 miljoner nedladdningar per månad och 282 med mer än 1 miljon nedladdningar per månad. Med tanke på belastningen av moduler längs beroendekedjan, kan äventyrande av otillförlitliga konton påverka upp till 52 % av alla moduler på NPM totalt.
Slutligen Om du är intresserad av att veta mer om det, du kan kontrollera detaljerna i originalanteckningen I följande länk.