GitHub 最近发布了 NPM 生态系统的一些变化 关于已经出现的安全问题,最近的一个问题是一些攻击者设法控制了 coa NPM 包并发布了更新 2.0.3、2.0.4、2.1.1、2.1.3 和 3.1.3。 XNUMX,其中包括恶意更改。
与此相关以及随着存储库缉获率的增加 大项目 并宣传恶意代码 通过破坏开发者帐户,GitHub 引入了扩展帐户验证。
另外,对于 500 个最流行的 NPM 包的维护者和管理员,将在明年初引入强制性的双因素身份验证。
7年2021月4日至2022年XNUMX月XNUMX日, 所有有权发布 NPM 包的维护者,但 不使用双因素身份验证的人,将转为使用扩展帐户验证. 扩展验证涉及在尝试进入 npmjs.com 站点或在 npm 实用程序中执行经过身份验证的操作时需要输入通过电子邮件发送的唯一代码。
扩展验证不会取代而只是补充可选的两因素身份验证 以前可用,这需要验证一次性密码 (TOTP)。 扩展电子邮件验证不适用 启用双因素身份验证时。 从 1 年 2022 月 100 日开始,将开始对 XNUMX 个最流行的具有最多依赖关系的 NPM 包进行强制双因素身份验证。
今天,我们将在 npm 注册表中引入改进的登录验证,我们将从 7 月 4 日开始到 2 月 XNUMX 日为维护者分阶段推出。 有权访问发布包但未启用双因素身份验证 (XNUMXFA) 的 Npm 注册表维护人员在通过 npmjs.com 网站或 Npm CLI 进行身份验证时将收到一封带有一次性密码 (OTP) 的电子邮件。
在进行身份验证之前,除了用户的密码之外,还需要提供此通过电子邮件发送的 OTP。 这一额外的身份验证层有助于防止使用用户已泄露和重复使用的密码的常见帐户劫持攻击,例如凭据填充。 值得注意的是,增强登录验证旨在为所有发布商提供额外的基本保护。 它不能替代 2FA、NIST 800-63B。 我们鼓励维护者选择 2FA 身份验证。 通过这样做,您将不需要执行增强的登录验证。
完成前一百个迁移后,更改将传播到 500 个最流行的 NPM 包 在依赖项的数量方面。
除了目前可用的用于生成一次性密码的基于应用程序的两因素身份验证方案(Authy、Google Authenticator、FreeOTP 等), 2022 年 XNUMX 月,他们计划增加使用硬件钥匙和生物识别扫描仪的功能 支持 WebAuthn 协议,以及注册和管理各种附加身份验证因素的能力。
回想一下,根据 2020 年进行的一项研究,只有 9.27% 的包管理器使用双因素身份验证来保护访问,并且在 13.37% 的情况下,在注册新帐户时,开发人员试图重复使用已知密码中出现的已泄露密码.
在密码强度分析期间 用过的, 访问了 NPM 中 12% 的帐户 (13% 的软件包)由于使用了可预测的简单密码,例如“123456”。 其中有问题的有4个最流行包的20个用户帐户,包月下载量超过13万次的50个帐户,月下载量超过40万次的帐户有10个,月下载量超过282万次的帐户有1个。 考虑到依赖链上模块的负载,破坏不受信任的帐户可能会影响 NPM 中多达 52% 的所有模块。
最后 如果您有兴趣了解更多信息, 您可以在原始注释中查看详细信息 在下面的链接中。