前几天 GitHub 披露了 NPM 包存储库基础设施中的两起事件, 其中详细说明,2 月 XNUMX 日,作为 Bug Bounty 计划一部分的第三方安全研究人员在 NPM 存储库中发现了一个漏洞 即使未经授权,它也允许发布任何包的新版本 执行此类更新。
该漏洞是由微服务代码中不正确的授权检查引起的 该流程向 NPM 提出请求。 授权服务根据请求中传递的数据对包执行权限检查,但正在将更新上传到存储库的另一个服务根据上传的包中的元数据内容确定要发布的包。
因此,攻击者可以请求发布他有权访问的包的更新,但在包本身中指明有关最终将被更新的另一个包的信息。
在过去的几个月里,npm 团队一直在投资基础设施和安全改进,以自动监控和分析最近发布的软件包版本,以实时识别恶意软件和其他恶意代码。
npm 生态系统中发生的恶意软件发布事件主要有两类:由于帐户劫持而发布的恶意软件,以及攻击者通过自己的帐户发布的恶意软件。 尽管高影响力的帐户获取相对较少,但与攻击者使用自己的帐户发布的直接恶意软件相比,当针对流行的软件包维护者时,帐户获取可能会影响深远。 虽然在最近发生的事件中,我们检测和响应获取流行软件包的时间低至 10 分钟,但我们会继续改进我们的恶意软件检测功能和通知策略,以实现更主动的响应模型。
问题 漏洞报告6小时后修复,但漏洞在NPM中存在的时间更长 比遥测日志涵盖的内容。 GitHub 表示没有使用此漏洞的攻击痕迹 自 2020 年 XNUMX 月,但不能保证该问题之前没有被利用过。
第二起事件发生在 26 月 XNUMX 日。 在使用replicant.npmjs.com服务数据库进行技术工作的过程中, 据透露,数据库中有机密数据可供外部咨询, 揭示有关更改日志中提到的内部包名称的信息。
这些名字的信息 可用于对内部项目进行依赖攻击 (二月份,此类攻击允许代码在 PayPal、微软、苹果、Netflix、优步和其他 30 家公司的服务器上运行。)
另外, 与大型项目的存储库被扣押的发生率增加有关 以及通过破坏开发者帐户来推广恶意代码, GitHub 决定引入强制性两因素身份验证. 更改将于 2022 年第一季度生效,并将适用于最受欢迎的列表中包含的软件包的维护者和管理员。 此外,它还报告了基础设施的现代化,这将引入对新版本软件包的自动监控和分析,以便及早检测恶意更改。
回想一下,根据 2020 年进行的一项研究,只有 9.27% 的包管理器使用双因素身份验证来保护访问,并且在 13.37% 的情况下,在注册新帐户时,开发人员试图重复使用已知密码中出现的已泄露密码.
在检查所用密码的强度时,由于使用了“12”等可预测且简单的密码,因此访问了 NPM 中 13% 的帐户(占包的 123456%)。 其中有问题的有4个最流行包的20个用户帐户,包月下载量超过13万次的50个帐户,月下载量超过40万次的帐户有10个,月下载量超过282万次的帐户有1个。 考虑到依赖链上的模块负载,破坏不受信任的帐户可能会影响 NPM 中多达 52% 的所有模块。
最后, 如果您有兴趣了解更多有关它的信息 您可以查看详细信息 在下面的链接中。