Ang GitHub ay naglabas kamakailan ng ilang pagbabago sa NPM ecosystem kaugnay ng mga problema sa seguridad na lumitaw at isa sa mga pinakabago ay ang ilang mga umaatake ay nakontrol ang coa NPM package at naglabas ng mga update 2.0.3, 2.0.4, 2.1.1, 2.1.3 at 3.1.3. XNUMX, na may kasamang malisyosong pagbabago.
Kaugnay nito at sa pagtaas ng saklaw ng mga seizure sa mga repositoryo ng malalaking proyekto at nagpo-promote ng malisyosong code Sa pamamagitan ng kompromiso ng mga developer account, ipinakilala ng GitHub ang pinahabang pag-verify ng account.
Hiwalay, para sa mga maintainer at administrator ng 500 pinakasikat na NPM packages, ang mandatoryong two-factor authentication ay ipakikilala sa unang bahagi ng susunod na taon.
Mula Disyembre 7, 2021 hanggang Enero 4, 2022, lahat ng mga maintainer na may karapatang maglabas ng mga pakete ng NPM, ngunit na hindi gumagamit ng two-factor authentication, ay ililipat upang gumamit ng pinahabang pag-verify ng account. Kasama sa pinalawig na pag-verify ang pangangailangang maglagay ng natatanging code na ipinadala sa pamamagitan ng email kapag sinusubukang pumasok sa npmjs.com site o magsagawa ng authenticated na operasyon sa npm utility.
Ang pinalawak na pag-verify ay hindi pinapalitan ngunit nagdaragdag lamang ng opsyonal na dalawang-factor na pagpapatotoo dating magagamit, na nangangailangan ng pag-verify ng isang beses na password (TOTP). Hindi nalalapat ang pinalawig na pag-verify sa email kapag pinagana ang two-factor authentication. Simula sa Pebrero 1, 2022, magsisimula na ang proseso ng paglipat sa mandatoryong two-factor authentication ng 100 pinakasikat na NPM package na may pinakamaraming dependency.
Ngayon ay ipinapakilala namin ang pinahusay na pag-verify sa pag-log in sa npm registry, at magsisimula kami ng staggered rollout para sa mga maintainer simula sa ika-7 ng Disyembre at magtatapos sa ika-4 ng Enero. Ang mga registry maintainer ng Npm na may access na mag-publish ng mga package at walang two-factor authentication (2FA) na naka-enable ay makakatanggap ng email na may one-time na password (OTP) kapag nag-authenticate sila sa pamamagitan ng npmjs.com website o sa Npm CLI.
Ang na-email na OTP na ito ay kailangang ibigay bilang karagdagan sa password ng user bago mag-authenticate. Ang karagdagang layer ng pagpapatotoo na ito ay nakakatulong na maiwasan ang mga karaniwang pag-atake ng pag-hijack ng account, gaya ng pagpupuno ng kredensyal, na gumagamit ng nakompromiso at muling ginamit na password ng isang user. Kapansin-pansin na ang Pinahusay na Pag-verify sa Pag-login ay nilalayong maging karagdagang pangunahing proteksyon para sa lahat ng mga publisher. Hindi ito kapalit ng 2FA, NIST 800-63B. Hinihikayat namin ang mga maintainer na mag-opt para sa 2FA authentication. Sa paggawa nito, hindi mo na kakailanganing magsagawa ng pinahusay na pag-verify sa pag-log in.
Pagkatapos makumpleto ang paglipat ng unang daang, ipapalaganap ang pagbabago sa 500 pinakasikat na pakete ng NPM sa mga tuntunin ng bilang ng mga dependencies.
Bilang karagdagan sa kasalukuyang magagamit na application-based na two-factor authentication scheme para sa pagbuo ng isang beses na mga password (Authy, Google Authenticator, FreeOTP, atbp.), sa Abril 2022, plano nilang magdagdag ng kakayahang gumamit ng mga hardware key at biometric scanner kung saan mayroong suporta para sa WebAuthn protocol, pati na rin ang kakayahang magrehistro at pamahalaan ang iba't ibang karagdagang mga kadahilanan sa pagpapatunay.
Alalahanin na ayon sa isang pag-aaral na isinagawa noong 2020, 9.27% lamang ng mga manager ng package ang gumagamit ng two-factor authentication upang maprotektahan ang pag-access, at sa 13.37% ng mga kaso, kapag nagrerehistro ng mga bagong account, sinubukan ng mga developer na muling gumamit ng mga nakompromisong password na lumalabas sa mga kilalang password. .
Sa panahon ng pagsusuri ng lakas ng password ginamit, 12% ng mga account sa NPM ang na-access (13% ng mga package) dahil sa paggamit ng mga predictable at trivial na password gaya ng "123456". Kabilang sa mga problema ay 4 na user account ng 20 pinakasikat na package, 13 account na ang mga package ay na-download nang higit sa 50 milyong beses bawat buwan, 40 - higit sa 10 milyong pag-download bawat buwan at 282 na may higit sa 1 milyong pag-download sa isang buwan. Isinasaalang-alang ang pag-load ng mga module sa kahabaan ng chain ng mga dependency, ang pagkompromiso sa mga hindi pinagkakatiwalaang account ay maaaring makaapekto sa hanggang 52% ng lahat ng module sa NPM sa kabuuan.
Sa wakas Kung interesado kang malaman ang tungkol dito, maaari mong suriin ang mga detalye sa orihinal na tala Sa sumusunod na link.