GitHub gần đây đã phát hành một số thay đổi đối với hệ sinh thái NPM liên quan đến các vấn đề bảo mật đã phát sinh và một trong những vấn đề gần đây nhất là một số kẻ tấn công đã quản lý để chiếm quyền kiểm soát gói NPM coa và phát hành các bản cập nhật 2.0.3, 2.0.4, 2.1.1, 2.1.3 và 3.1.3. XNUMX, bao gồm các thay đổi độc hại.
Liên quan đến điều này và với tỷ lệ ngày càng tăng của các vụ tịch thu kho lưu trữ dự án lớn và quảng bá mã độc hại Thông qua việc xâm phạm tài khoản nhà phát triển, GitHub đang giới thiệu xác minh tài khoản mở rộng.
Riêng biệt, đối với những người bảo trì và quản trị viên của 500 gói NPM phổ biến nhất, xác thực hai yếu tố bắt buộc sẽ được giới thiệu vào đầu năm tới.
Từ ngày 7 tháng 2021 năm 4 đến ngày 2022 tháng XNUMX năm XNUMX, tất cả những người bảo trì có quyền phát hành gói NPM, nhưng những người không sử dụng xác thực hai yếu tố, sẽ được chuyển sang sử dụng xác minh tài khoản mở rộng. Xác minh mở rộng liên quan đến việc cần nhập mã duy nhất được gửi qua email khi cố gắng truy cập trang web npmjs.com hoặc thực hiện thao tác xác thực trong tiện ích npm.
Xác minh mở rộng không thay thế mà chỉ bổ sung xác thực hai yếu tố tùy chọn có sẵn trước đây, yêu cầu xác minh mật khẩu một lần (TOTP). Xác minh email mở rộng không áp dụng khi xác thực hai yếu tố được bật. Bắt đầu từ ngày 1 tháng 2022 năm 100, quá trình chuyển sang xác thực hai yếu tố bắt buộc của XNUMX gói NPM phổ biến nhất với nhiều phụ thuộc nhất sẽ bắt đầu.
Hôm nay chúng tôi sẽ giới thiệu xác minh đăng nhập được cải thiện trong sổ đăng ký npm và chúng tôi sẽ bắt đầu triển khai đáng kinh ngạc cho những người bảo trì bắt đầu từ ngày 7 tháng 4 và kết thúc vào ngày 2 tháng XNUMX. Những người duy trì sổ đăng ký Npm có quyền truy cập để xuất bản các gói và không bật xác thực hai yếu tố (XNUMXFA) sẽ nhận được email có mật khẩu dùng một lần (OTP) khi họ xác thực thông qua trang web npmjs.com hoặc Npm CLI.
OTP được gửi qua email này sẽ cần được cung cấp cùng với mật khẩu của người dùng trước khi xác thực. Lớp xác thực bổ sung này giúp ngăn chặn các cuộc tấn công chiếm đoạt tài khoản phổ biến, chẳng hạn như nhồi nhét thông tin xác thực, sử dụng mật khẩu bị xâm phạm và sử dụng lại của người dùng. Cần lưu ý rằng Xác minh đăng nhập nâng cao có nghĩa là một biện pháp bảo vệ cơ bản bổ sung cho tất cả các nhà xuất bản. Nó không phải là sự thay thế cho 2FA, NIST 800-63B. Chúng tôi khuyến khích các nhà bảo trì chọn xác thực 2FA. Bằng cách này, bạn sẽ không cần thực hiện xác minh đăng nhập nâng cao.
Sau khi hoàn thành quá trình di chuyển hàng trăm gói đầu tiên, thay đổi sẽ được áp dụng cho 500 gói NPM phổ biến nhất về số lượng phụ thuộc.
Ngoài các kế hoạch xác thực hai yếu tố dựa trên ứng dụng hiện có sẵn để tạo mật khẩu một lần (Authy, Google Authenticator, FreeOTP, v.v.), vào tháng 2022 năm XNUMX, họ có kế hoạch bổ sung khả năng sử dụng khóa phần cứng và máy quét sinh trắc học mà có hỗ trợ cho giao thức WebAuthn, cũng như khả năng đăng ký và quản lý các yếu tố xác thực bổ sung khác nhau.
Nhớ lại rằng theo một nghiên cứu được thực hiện vào năm 2020, chỉ có 9.27% người quản lý gói sử dụng xác thực hai yếu tố để bảo vệ quyền truy cập và trong 13.37% trường hợp, khi đăng ký tài khoản mới, các nhà phát triển đã cố gắng sử dụng lại các mật khẩu bị xâm phạm xuất hiện trong các mật khẩu đã biết. .
Trong quá trình phân tích độ mạnh của mật khẩu được sử dụng, 12% tài khoản trong NPM đã được truy cập (13% các gói) do việc sử dụng các mật khẩu có thể đoán trước và nhỏ như "123456". Trong số các vấn đề có 4 tài khoản người dùng của 20 gói phổ biến nhất, 13 tài khoản có gói được tải xuống hơn 50 triệu lần mỗi tháng, 40 - hơn 10 triệu lượt tải xuống mỗi tháng và 282 với hơn 1 triệu lượt tải xuống mỗi tháng. Xem xét khối lượng các mô-đun dọc theo chuỗi phụ thuộc, việc xâm phạm các tài khoản không đáng tin cậy có thể ảnh hưởng đến 52% tổng số tất cả các mô-đun trong NPM.
Cuối cùng Nếu bạn muốn biết thêm về nó, bạn có thể kiểm tra các chi tiết trong ghi chú ban đầu Trong liên kết sau đây.