GitHub нещодавно випустив деякі зміни в екосистемі NPM у зв’язку з проблемами безпеки, які виникли, і одна з останніх полягала в тому, що деяким зловмисникам вдалося взяти під контроль пакет coa NPM і випустили оновлення 2.0.3, 2.0.4, 2.1.1, 2.1.3 і 3.1.3. XNUMX, яка включала шкідливі зміни.
У зв'язку з цим і з ростом випадків вилучення сховищ великих проектів і просування шкідливого коду Через компрометацію облікових записів розробників GitHub запроваджує розширену перевірку облікового запису.
Окремо, для супроводжувачів і адміністраторів 500 найпопулярніших пакетів NPM на початку наступного року буде введена обов’язкова двофакторна аутентифікація.
З 7 грудня 2021 р. по 4 січня 2022 р. всі супроводжувачі, які мають право випускати пакети NPM, але які не використовують двофакторну аутентифікацію, будуть переведені на використання розширеної перевірки облікового запису. Розширена перевірка передбачає необхідність ввести унікальний код, який надсилається електронною поштою під час спроби увійти на сайт npmjs.com або виконати операцію автентифікації в утиліті npm.
Розширена перевірка не замінює, а лише доповнює додаткову двофакторну аутентифікацію доступні раніше, що вимагає перевірки одноразових паролів (TOTP). Розширена перевірка електронної пошти не застосовується коли ввімкнено двофакторну аутентифікацію. З 1 лютого 2022 року розпочнеться процес переходу на обов’язкову двофакторну аутентифікацію 100 найпопулярніших пакетів NPM з найбільшою кількістю залежностей.
Сьогодні ми представляємо покращену перевірку входу в реєстрі npm, і ми розпочнемо поетапне впровадження для супроводжувачів, починаючи з 7 грудня і закінчуючи 4 січня. Супроводжувачі реєстру Npm, які мають доступ до публікування пакетів і не мають увімкненої двофакторної автентифікації (2FA), отримають електронний лист із одноразовим паролем (OTP) під час автентифікації через веб-сайт npmjs.com або Npm CLI.
Цей одноразовий пароль, надісланий електронною поштою, потрібно буде надати на додаток до пароля користувача перед автентифікацією. Цей додатковий рівень аутентифікації допомагає запобігти поширеним атакам викрадення облікового запису, таким як підбір облікових даних, які використовують скомпрометований та повторно використаний пароль користувача. Варто зазначити, що розширена перевірка входу покликана бути додатковим основним захистом для всіх видавців. Це не заміна 2FA, NIST 800-63B. Ми заохочуємо супроводжувачів вибрати автентифікацію 2FA. Зробивши це, вам не потрібно буде виконувати розширену перевірку входу.
Після завершення міграції першої сотні зміни буде поширено на 500 найпопулярніших пакетів NPM за кількістю залежностей.
На додаток до наявних на даний момент схем двофакторної автентифікації на основі програм для генерування одноразових паролів (Authy, Google Authenticator, FreeOTP тощо), у квітні 2022 року вони планують додати можливість використовувати апаратні ключі та біометричні сканери для яких є підтримка протоколу WebAuthn, а також можливість реєстрації та управління різними додатковими факторами аутентифікації.
Нагадаємо, згідно з дослідженням, проведеним у 2020 році, лише 9.27% менеджерів пакетів використовують двофакторну аутентифікацію для захисту доступу, а в 13.37% випадків при реєстрації нових облікових записів розробники намагалися повторно використати зламані паролі, які з'являються у відомих паролях. .
Під час аналізу надійності пароля використаний, До 12% облікових записів у НПМ було здійснено доступ (13% пакетів) за рахунок використання передбачуваних і тривіальних паролів типу «123456». Серед проблем були 4 облікові записи користувачів із 20 найпопулярніших пакетів, 13 облікових записів, пакети яких завантажувалися понад 50 мільйонів разів на місяць, 40 – понад 10 мільйонів завантажень на місяць та 282 з понад 1 мільйоном завантажень на місяць. Враховуючи навантаження модулів уздовж ланцюжка залежностей, компрометація ненадійних облікових записів може вплинути на до 52% усіх модулів у NPM.
В кінці кінців Якщо вам цікаво дізнатись більше про це, Ви можете перевірити деталі в оригінальній примітці У наступному посиланні.