Bir kaç gün önce GitHub, NPM paket deposu altyapısında iki olay ortaya çıkardı, 2 Kasım'da Bug Bounty programının bir parçası olarak üçüncü taraf güvenlik araştırmacılarının NPM deposunda bir güvenlik açığı bulduğunu detaylandırıyor. yetkilendirilmemiş olsa bile herhangi bir paketin yeni bir sürümünün yayınlanmasına izin verir. Bu tür güncellemeleri gerçekleştirmek için.
Güvenlik açığı, mikro hizmet kodundaki hatalı yetkilendirme denetimlerinden kaynaklandı. bu süreç NPM'ye istekte bulunur. Yetkilendirme hizmeti, istekte iletilen verilere dayalı olarak paketler üzerinde bir izin denetimi gerçekleştirdi, ancak güncellemeyi depoya yükleyen başka bir hizmet, yüklenen paketteki meta veri içeriğine göre paketin yayınlanmasını belirledi.
Böylece, bir saldırgan, erişimi olduğu paketi için bir güncellemenin yayınlanmasını talep edebilir, ancak paketin kendisinde, sonunda güncellenecek olan başka bir paket hakkındaki bilgileri gösterebilir.
Son birkaç aydır, npm ekibi, kötü amaçlı yazılımları ve diğer kötü amaçlı kodları gerçek zamanlı olarak belirlemek için yakın zamanda yayınlanan paket sürümlerinin izlenmesini ve analizini otomatikleştirmek için altyapı ve güvenlik iyileştirmelerine yatırım yapıyor.
Npm ekosisteminde meydana gelen kötü amaçlı yazılım yayınlama olaylarının iki ana kategorisi vardır: hesap ele geçirme nedeniyle yayınlanan kötü amaçlı yazılımlar ve saldırganların kendi hesapları aracılığıyla yayınladığı kötü amaçlı yazılımlar. Saldırganların kendi hesaplarını kullanarak yayınladığı doğrudan kötü amaçlı yazılımlarla karşılaştırıldığında, yüksek etkili hesap satın alma işlemleri nispeten nadir olsa da, popüler paket bakımcılarını hedef alırken hesap satın alma işlemleri çok geniş kapsamlı olabilir. Popüler paketlerin satın alınmasına yönelik algılama ve yanıt süremiz son olaylarda 10 dakika kadar kısa olsa da, kötü amaçlı yazılım algılama yeteneklerimizi ve bildirim stratejilerimizi daha proaktif bir yanıt modeline doğru geliştirmeye devam ediyoruz.
sorun güvenlik açığı bildirildikten 6 saat sonra düzeltildi, ancak güvenlik açığı NPM'de daha uzun süre mevcuttu telemetri günlüklerinin kapsadığından daha fazla. GitHub, bu güvenlik açığını kullanan herhangi bir saldırı izine rastlanmadığını belirtiyor. Eylül 2020'den beri, ancak sorunun daha önce kullanılmadığına dair bir garanti yoktur.
İkinci olay 26 Ekim'de gerçekleşti. Replicant.npmjs.com hizmet veri tabanı ile yapılan teknik çalışmalar sırasında, veritabanında harici danışma için uygun gizli veriler olduğu ortaya çıktı, değişiklik günlüğünde bahsedilen dahili paketlerin adları hakkında bilgi verir.
Bu isimler hakkında bilgi dahili projelere bağımlılık saldırıları gerçekleştirmek için kullanılabilir (Şubat ayında, böyle bir saldırı kodun PayPal, Microsoft, Apple, Netflix, Uber ve diğer 30 şirketin sunucularında çalışmasına izin verdi.)
Buna ek olarak, büyük projelerin depolarına el koyma vakalarının artmasıyla ilgili olarak ve geliştirici hesaplarının ele geçirilmesi yoluyla kötü amaçlı kodun tanıtımı, GitHub, zorunlu iki faktörlü kimlik doğrulamayı uygulamaya karar verdi. Değişiklik, 2022'nin ilk çeyreğinde yürürlüğe girecek ve en popülerler listesinde yer alan paketlerin sahipleri ve yöneticileri için geçerli olacak. Ek olarak, kötü niyetli değişikliklerin erken tespiti için yeni paket sürümlerinin otomatik olarak izlenmesini ve analizini sunacak olan altyapının modernizasyonu hakkında rapor verir.
2020'de yapılan bir araştırmaya göre, paket yöneticilerinin yalnızca %9.27'sinin erişimi korumak için iki faktörlü kimlik doğrulama kullandığını ve vakaların %13.37'sinde yeni hesap kaydederken geliştiricilerin bilinen şifrelerde görünen güvenliği ihlal edilmiş şifreleri yeniden kullanmaya çalıştığını hatırlayın. .
Kullanılan şifrelerin sağlamlığının kontrolü sırasında "12" gibi öngörülebilir ve önemsiz şifrelerin kullanılması nedeniyle NPM'deki hesapların %13'sine (paketlerin %123456'ü) ulaşılmıştır. Sorunlar arasında en popüler 4 paketin 20 kullanıcı hesabı, paketleri ayda 13 milyondan fazla indirilen 50 hesap, ayda 40 - 10 milyondan fazla indirme ve 282 ayda 1 milyondan fazla indirme vardı. Bağımlılıklar zinciri boyunca modüllerin yükü göz önüne alındığında, güvenilmeyen hesaplardan ödün verilmesi, toplam NPM'deki tüm modüllerin %52'sine kadarını etkileyebilir.
Son olarak, onun hakkında daha fazla bilgi edinmekle ilgileniyorsan detayları kontrol edebilirsin Aşağıdaki bağlantıda.