Några dagar sedan GitHub avslöjade två incidenter i NPM-paketets lagringsinfrastruktur, av vilka den beskriver att den 2 november hittade tredjepartssäkerhetsforskare som en del av Bug Bounty-programmet en sårbarhet i NPM-förvaret som tillåter att publicera en ny version av vilket paket som helst med även om det inte är auktoriserat att utföra sådana uppdateringar.
Sårbarheten orsakades av felaktiga auktoriseringskontroller i microservices-koden den processen begär till NPM. Auktoriseringstjänsten utförde en behörighetskontroll av paketen baserat på data som skickades i begäran, men en annan tjänst som laddade upp uppdateringen till förvaret bestämde att paketet skulle publiceras baserat på metadatainnehållet i det uppladdade paketet.
Således kan en angripare begära publicering av en uppdatering för sitt paket, som han har tillgång till, men i själva paketet ange information om ett annat paket, som så småningom skulle uppdateras.
Under de senaste månaderna har npm-teamet investerat i infrastruktur- och säkerhetsförbättringar för att automatisera övervakningen och analysen av nyligen släppta paketversioner för att identifiera skadlig kod och annan skadlig kod i realtid.
Det finns två huvudkategorier av skadlig posthändelser som inträffar i npm-ekosystemet: skadlig programvara som publiceras på grund av kontokapning och skadlig programvara som angripare postar via sina egna konton. Även om kontoförvärv med hög effekt är relativt sällsynta, jämfört med direkt skadlig programvara som postats av angripare som använder sina egna konton, kan kontoförvärv vara långtgående när man riktar sig till populära paketunderhållare. Medan vår upptäckt och svarstid på förvärv av populära paket har varit så låg som 10 minuter under de senaste incidenterna, fortsätter vi att utveckla våra funktioner för upptäckt av skadlig programvara och aviseringsstrategier mot en mer proaktiv svarsmodell.
Problemet det fixades 6 timmar efter att sårbarheten rapporterades, men sårbarheten fanns i NPM längre än vad telemetriloggar täcker. GitHub uppger att det inte har funnits några spår av attacker med denna sårbarhet sedan september 2020, men det finns ingen garanti för att problemet inte har utnyttjats tidigare.
Den andra incidenten ägde rum den 26 oktober. Under det tekniska arbetet med tjänstedatabasen replicant.npmjs.com, det avslöjades att det fanns konfidentiella uppgifter i databasen tillgängliga för extern konsultation, avslöjar information om namnen på de interna paketen som nämndes i ändringsloggen.
Information om dessa namn kan användas för att utföra beroendeattacker på interna projekt (I februari tillät en sådan attack kod att köras på PayPal, Microsoft, Apple, Netflix, Uber och 30 andra företags servrar.)
Dessutom, i förhållande till den ökande förekomsten av beslag av förvar av stora projekt och marknadsföring av skadlig kod genom att äventyra utvecklarkonton, GitHub beslutade att införa obligatorisk tvåfaktorsautentisering. Ändringen kommer att träda i kraft under första kvartalet 2022 och kommer att gälla för underhållare och administratörer av paketen som ingår i listan över de mest populära. Dessutom rapporterar den om moderniseringen av infrastrukturen, som kommer att introducera automatiserad övervakning och analys av nya versioner av paket för tidig upptäckt av skadliga ändringar.
Kom ihåg att enligt en studie genomförd 2020 använder endast 9.27 % av pakethanterarna tvåfaktorsautentisering för att skydda åtkomst, och i 13.37 % av fallen, när de registrerade nya konton, försökte utvecklare att återanvända komprometterade lösenord som visas i kända lösenord .
Under kontrollen av styrkan på de använda lösenorden nåddes 12 % av kontona i NPM (13 % av paketen) på grund av användningen av förutsägbara och triviala lösenord som "123456". Bland problemen var 4 användarkonton av de 20 mest populära paketen, 13 konton vars paket laddades ner mer än 50 miljoner gånger per månad, 40 - mer än 10 miljoner nedladdningar per månad och 282 med mer än 1 miljon nedladdningar per månad. Med tanke på modulbelastningen längs kedjan av beroenden, kan äventyrande av otillförlitliga konton påverka upp till 52 % av alla moduler i NPM totalt.
Slutligen, om du är intresserad av att veta mer om det du kan kontrollera detaljerna I följande länk.